Los investigadores de seguridad cibern\u00e9tica han revelado una nueva variante del ransomware AvosLocker que desactiva las soluciones antivirus para evadir la detecci\u00f3n despu\u00e9s de violar las redes de destino aprovechando las fallas de seguridad sin parches. <\/p>\n
“Esta es la primera muestra que observamos en los EE. UU. con la capacidad de desactivar una soluci\u00f3n de defensa usando un archivo de controlador Avast Anti-Rootkit leg\u00edtimo (asWarPot.sys)”, los investigadores de Trend Micro, Christoper Ordonez y Alvin Nieto, dicho<\/a> en un an\u00e1lisis del lunes.<\/p>\n “Adem\u00e1s, el ransomware tambi\u00e9n es capaz de escanear m\u00faltiples puntos finales en busca de la vulnerabilidad Log4j (Log4shell) usando Nmap gui\u00f3n NSE<\/a>.”<\/p>\n AvosLocker, una de las familias de ransomware m\u00e1s nuevas para llenar el vac\u00edo dejado por REvil, se ha relacionado con una serie de ataques dirigidos a infraestructura cr\u00edtica en los EE. UU., incluidos los servicios financieros y las instalaciones gubernamentales.<\/p>\n Un grupo basado en afiliados de ransomware como servicio (RaaS) descubierto por primera vez en julio de 2021, AvosLocker va m\u00e1s all\u00e1 de la doble extorsi\u00f3n al subastar los datos robados a las v\u00edctimas en caso de que las entidades objetivo se nieguen a pagar el rescate.<\/p>\n Se dice que otras v\u00edctimas objetivo reclamadas por el cartel de ransomware se encuentran en Siria, Arabia Saudita, Alemania, Espa\u00f1a, B\u00e9lgica, Turqu\u00eda, los Emiratos \u00c1rabes Unidos, el Reino Unido, Canad\u00e1, China y Taiw\u00e1n, seg\u00fan un informe. consultivo<\/a> publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU. en marzo de 2022.<\/p>\n Datos de telemetr\u00eda recopilados por Trend Micro espect\u00e1culos<\/a> que el sector de alimentos y bebidas fue la industria m\u00e1s afectada entre el 1 de julio de 2021 y el 28 de febrero de 2022, seguido de las verticales de tecnolog\u00eda, finanzas, telecomunicaciones y medios.<\/p>\n Se cree que el punto de entrada para el ataque se facilit\u00f3 al aprovechar un exploit para una falla de ejecuci\u00f3n remota de c\u00f3digo en el software ManageEngine ADSelfService Plus de Zoho (CVE-2021-40539) para ejecutar una aplicaci\u00f3n HTML (HTA<\/a>) alojado en un servidor remoto.<\/p>\n “El HTA ejecut\u00f3 un script de PowerShell ofuscado que contiene un c\u00f3digo de shell, capaz de conectarse de nuevo a la [command-and-control] servidor para ejecutar comandos arbitrarios”, explicaron los investigadores.<\/p>\n Esto incluye recuperar un shell web ASPX del servidor, as\u00ed como un instalador para el software de escritorio remoto AnyDesk, el \u00faltimo de los cuales se usa para implementar herramientas adicionales para escanear la red local, finalizar el software de seguridad y eliminar la carga \u00fatil del ransomware.<\/p>\n Algunos de los componentes copiados en el punto final infectado son un script Nmap para escanear la red en busca de la falla de ejecuci\u00f3n remota de c\u00f3digo de Log4Shell (CVE-2021-44228) y una herramienta de implementaci\u00f3n masiva llamada PDQ para entregar un script por lotes malicioso a m\u00faltiples puntos finales. <\/p>\n El script por lotes, por su parte, est\u00e1 equipado con una amplia gama de capacidades que le permiten deshabilitar Windows Update, Windows Defender y Windows Error Recovery, adem\u00e1s de evitar la ejecuci\u00f3n de arranque seguro de productos de seguridad, crear una nueva cuenta de administrador y lanzando el binario ransomware.<\/p>\n Tambi\u00e9n se utiliza aswArPot.sys, un controlador anti-rootkit leg\u00edtimo de Avast, para eliminar procesos asociados con diferentes soluciones de seguridad al convertir en arma una vulnerabilidad ahora reparada en el controlador de la empresa checa. resuelto en junio de 2021<\/a>.<\/p>\n “La decisi\u00f3n de elegir el archivo del controlador de rootkit espec\u00edfico es por su capacidad para ejecutarse en modo kernel (por lo tanto, opera con un alto privilegio)”, se\u00f1alaron los investigadores. \u201cEsta variante tambi\u00e9n es capaz de modificar otros detalles de las soluciones de seguridad instaladas, como por ejemplo deshabilitar el aviso legal\u201d.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n