Les chercheurs en cybersécurité ont dévoilé une nouvelle variante du ransomware AvosLocker qui désactive les solutions antivirus pour échapper à la détection après avoir violé les réseaux cibles en tirant parti des failles de sécurité non corrigées.
« Il s’agit du premier échantillon que nous avons observé aux États-Unis avec la capacité de désactiver une solution de défense à l’aide d’un fichier de pilote Avast Anti-Rootkit légitime (asWarPot.sys) », ont déclaré les chercheurs de Trend Micro, Christoper Ordonez et Alvin Nieto, mentionné dans une analyse du lundi.
« En outre, le rançongiciel est également capable d’analyser plusieurs points de terminaison pour la vulnérabilité Log4j (Log4shell) à l’aide de Nmap Scénario NSE. »
AvosLocker, l’une des nouvelles familles de rançongiciels à combler le vide laissé par REvil, a été lié à un certain nombre d’attaques ciblant des infrastructures critiques aux États-Unis, notamment des services financiers et des installations gouvernementales.
AvosLocker, un groupe affilié basé sur le ransomware-as-a-service (RaaS) repéré pour la première fois en juillet 2021, va au-delà de la double extorsion en mettant aux enchères les données volées aux victimes si les entités ciblées refusent de payer la rançon.
D’autres victimes ciblées revendiquées par le cartel des rançongiciels se trouveraient en Syrie, en Arabie saoudite, en Allemagne, en Espagne, en Belgique, en Turquie, aux Émirats arabes unis, au Royaume-Uni, au Canada, en Chine et à Taïwan, selon un consultatif publié par le Federal Bureau of Investigation (FBI) des États-Unis en mars 2022.
Données de télémétrie recueillies par Trend Micro spectacles que le secteur de l’alimentation et des boissons a été l’industrie la plus touchée entre le 1er juillet 2021 et le 28 février 2022, suivi des secteurs verticaux de la technologie, de la finance, des télécommunications et des médias.
On pense que le point d’entrée de l’attaque a été facilité en tirant parti d’un exploit pour une faille d’exécution de code à distance dans le logiciel ManageEngine ADSelfService Plus de Zoho (CVE-2021-40539) pour exécuter une application HTML (ETS) hébergé sur un serveur distant.
« Le HTA a exécuté un script PowerShell obscurci qui contient un shellcode, capable de se reconnecter au [command-and-control] serveur pour exécuter des commandes arbitraires », ont expliqué les chercheurs.
Cela inclut la récupération d’un shell Web ASPX à partir du serveur ainsi qu’un programme d’installation pour le logiciel de bureau à distance AnyDesk, ce dernier étant utilisé pour déployer des outils supplémentaires pour analyser le réseau local, mettre fin au logiciel de sécurité et supprimer la charge utile du ransomware.
Certains des composants copiés sur le point de terminaison infecté sont un script Nmap pour analyser le réseau à la recherche de la faille d’exécution de code à distance Log4Shell (CVE-2021-44228) et un outil de déploiement de masse appelé PDQ pour fournir un script batch malveillant à plusieurs points de terminaison.
Le script batch, pour sa part, est équipé d’un large éventail de fonctionnalités qui lui permettent de désactiver Windows Update, Windows Defender et Windows Error Recovery, en plus d’empêcher l’exécution du démarrage sécurisé des produits de sécurité, de créer un nouveau compte administrateur et lancer le binaire ransomware.
AswArPot.sys est également utilisé, un pilote anti-rootkit Avast légitime, pour tuer les processus associés à différentes solutions de sécurité en militarisant une vulnérabilité désormais corrigée dans le pilote de la société tchèque. résolu en juin 2021.
« La décision de choisir le fichier de pilote rootkit spécifique est pour sa capacité à s’exécuter en mode noyau (fonctionnant donc avec un privilège élevé) », ont souligné les chercheurs. « Cette variante est également capable de modifier d’autres détails des solutions de sécurité installées, comme la désactivation de la mention légale. »