Los investigadores de seguridad cibernética han revelado una nueva variante del ransomware AvosLocker que desactiva las soluciones antivirus para evadir la detección después de violar las redes de destino aprovechando las fallas de seguridad sin parches.
“Esta es la primera muestra que observamos en los EE. UU. con la capacidad de desactivar una solución de defensa usando un archivo de controlador Avast Anti-Rootkit legítimo (asWarPot.sys)”, los investigadores de Trend Micro, Christoper Ordonez y Alvin Nieto, dicho en un análisis del lunes.
“Además, el ransomware también es capaz de escanear múltiples puntos finales en busca de la vulnerabilidad Log4j (Log4shell) usando Nmap guión NSE.”
AvosLocker, una de las familias de ransomware más nuevas para llenar el vacío dejado por REvil, se ha relacionado con una serie de ataques dirigidos a infraestructura crítica en los EE. UU., incluidos los servicios financieros y las instalaciones gubernamentales.
Un grupo basado en afiliados de ransomware como servicio (RaaS) descubierto por primera vez en julio de 2021, AvosLocker va más allá de la doble extorsión al subastar los datos robados a las víctimas en caso de que las entidades objetivo se nieguen a pagar el rescate.
Se dice que otras víctimas objetivo reclamadas por el cartel de ransomware se encuentran en Siria, Arabia Saudita, Alemania, España, Bélgica, Turquía, los Emiratos Árabes Unidos, el Reino Unido, Canadá, China y Taiwán, según un informe. consultivo publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU. en marzo de 2022.
Datos de telemetría recopilados por Trend Micro espectáculos que el sector de alimentos y bebidas fue la industria más afectada entre el 1 de julio de 2021 y el 28 de febrero de 2022, seguido de las verticales de tecnología, finanzas, telecomunicaciones y medios.
Se cree que el punto de entrada para el ataque se facilitó al aprovechar un exploit para una falla de ejecución remota de código en el software ManageEngine ADSelfService Plus de Zoho (CVE-2021-40539) para ejecutar una aplicación HTML (HTA) alojado en un servidor remoto.
“El HTA ejecutó un script de PowerShell ofuscado que contiene un código de shell, capaz de conectarse de nuevo a la [command-and-control] servidor para ejecutar comandos arbitrarios”, explicaron los investigadores.
Esto incluye recuperar un shell web ASPX del servidor, así como un instalador para el software de escritorio remoto AnyDesk, el último de los cuales se usa para implementar herramientas adicionales para escanear la red local, finalizar el software de seguridad y eliminar la carga útil del ransomware.
Algunos de los componentes copiados en el punto final infectado son un script Nmap para escanear la red en busca de la falla de ejecución remota de código de Log4Shell (CVE-2021-44228) y una herramienta de implementación masiva llamada PDQ para entregar un script por lotes malicioso a múltiples puntos finales.
El script por lotes, por su parte, está equipado con una amplia gama de capacidades que le permiten deshabilitar Windows Update, Windows Defender y Windows Error Recovery, además de evitar la ejecución de arranque seguro de productos de seguridad, crear una nueva cuenta de administrador y lanzando el binario ransomware.
También se utiliza aswArPot.sys, un controlador anti-rootkit legítimo de Avast, para eliminar procesos asociados con diferentes soluciones de seguridad al convertir en arma una vulnerabilidad ahora reparada en el controlador de la empresa checa. resuelto en junio de 2021.
“La decisión de elegir el archivo del controlador de rootkit específico es por su capacidad para ejecutarse en modo kernel (por lo tanto, opera con un alto privilegio)”, señalaron los investigadores. “Esta variante también es capaz de modificar otros detalles de las soluciones de seguridad instaladas, como por ejemplo deshabilitar el aviso legal”.
About the Author
