Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 une nouvelle variante du ransomware AvosLocker qui d\u00e9sactive les solutions antivirus pour \u00e9chapper \u00e0 la d\u00e9tection apr\u00e8s avoir viol\u00e9 les r\u00e9seaux cibles en tirant parti des failles de s\u00e9curit\u00e9 non corrig\u00e9es. <\/p>\n
“Il s’agit du premier \u00e9chantillon que nous avons observ\u00e9 aux \u00c9tats-Unis avec la capacit\u00e9 de d\u00e9sactiver une solution de d\u00e9fense \u00e0 l’aide d’un fichier de pilote Avast Anti-Rootkit l\u00e9gitime (asWarPot.sys)”, ont d\u00e9clar\u00e9 les chercheurs de Trend Micro, Christoper Ordonez et Alvin Nieto, mentionn\u00e9<\/a> dans une analyse du lundi.<\/p>\n “En outre, le ran\u00e7ongiciel est \u00e9galement capable d’analyser plusieurs points de terminaison pour la vuln\u00e9rabilit\u00e9 Log4j (Log4shell) \u00e0 l’aide de Nmap Sc\u00e9nario NSE<\/a>.”<\/p>\n AvosLocker, l’une des nouvelles familles de ran\u00e7ongiciels \u00e0 combler le vide laiss\u00e9 par REvil, a \u00e9t\u00e9 li\u00e9 \u00e0 un certain nombre d’attaques ciblant des infrastructures critiques aux \u00c9tats-Unis, notamment des services financiers et des installations gouvernementales.<\/p>\n AvosLocker, un groupe affili\u00e9 bas\u00e9 sur le ransomware-as-a-service (RaaS) rep\u00e9r\u00e9 pour la premi\u00e8re fois en juillet 2021, va au-del\u00e0 de la double extorsion en mettant aux ench\u00e8res les donn\u00e9es vol\u00e9es aux victimes si les entit\u00e9s cibl\u00e9es refusent de payer la ran\u00e7on.<\/p>\n D’autres victimes cibl\u00e9es revendiqu\u00e9es par le cartel des ran\u00e7ongiciels se trouveraient en Syrie, en Arabie saoudite, en Allemagne, en Espagne, en Belgique, en Turquie, aux \u00c9mirats arabes unis, au Royaume-Uni, au Canada, en Chine et \u00e0 Ta\u00efwan, selon un consultatif<\/a> publi\u00e9 par le Federal Bureau of Investigation (FBI) des \u00c9tats-Unis en mars 2022.<\/p>\n Donn\u00e9es de t\u00e9l\u00e9m\u00e9trie recueillies par Trend Micro spectacles<\/a> que le secteur de l’alimentation et des boissons a \u00e9t\u00e9 l’industrie la plus touch\u00e9e entre le 1er juillet 2021 et le 28 f\u00e9vrier 2022, suivi des secteurs verticaux de la technologie, de la finance, des t\u00e9l\u00e9communications et des m\u00e9dias.<\/p>\n On pense que le point d’entr\u00e9e de l’attaque a \u00e9t\u00e9 facilit\u00e9 en tirant parti d’un exploit pour une faille d’ex\u00e9cution de code \u00e0 distance dans le logiciel ManageEngine ADSelfService Plus de Zoho (CVE-2021-40539) pour ex\u00e9cuter une application HTML (ETS<\/a>) h\u00e9berg\u00e9 sur un serveur distant.<\/p>\n “Le HTA a ex\u00e9cut\u00e9 un script PowerShell obscurci qui contient un shellcode, capable de se reconnecter au [command-and-control] serveur pour ex\u00e9cuter des commandes arbitraires \u00bb, ont expliqu\u00e9 les chercheurs.<\/p>\n Cela inclut la r\u00e9cup\u00e9ration d’un shell Web ASPX \u00e0 partir du serveur ainsi qu’un programme d’installation pour le logiciel de bureau \u00e0 distance AnyDesk, ce dernier \u00e9tant utilis\u00e9 pour d\u00e9ployer des outils suppl\u00e9mentaires pour analyser le r\u00e9seau local, mettre fin au logiciel de s\u00e9curit\u00e9 et supprimer la charge utile du ransomware.<\/p>\n Certains des composants copi\u00e9s sur le point de terminaison infect\u00e9 sont un script Nmap pour analyser le r\u00e9seau \u00e0 la recherche de la faille d’ex\u00e9cution de code \u00e0 distance Log4Shell (CVE-2021-44228) et un outil de d\u00e9ploiement de masse appel\u00e9 PDQ pour fournir un script batch malveillant \u00e0 plusieurs points de terminaison. <\/p>\n Le script batch, pour sa part, est \u00e9quip\u00e9 d’un large \u00e9ventail de fonctionnalit\u00e9s qui lui permettent de d\u00e9sactiver Windows Update, Windows Defender et Windows Error Recovery, en plus d’emp\u00eacher l’ex\u00e9cution du d\u00e9marrage s\u00e9curis\u00e9 des produits de s\u00e9curit\u00e9, de cr\u00e9er un nouveau compte administrateur et lancer le binaire ransomware.<\/p>\n AswArPot.sys est \u00e9galement utilis\u00e9, un pilote anti-rootkit Avast l\u00e9gitime, pour tuer les processus associ\u00e9s \u00e0 diff\u00e9rentes solutions de s\u00e9curit\u00e9 en militarisant une vuln\u00e9rabilit\u00e9 d\u00e9sormais corrig\u00e9e dans le pilote de la soci\u00e9t\u00e9 tch\u00e8que. r\u00e9solu en juin 2021<\/a>.<\/p>\n “La d\u00e9cision de choisir le fichier de pilote rootkit sp\u00e9cifique est pour sa capacit\u00e9 \u00e0 s’ex\u00e9cuter en mode noyau (fonctionnant donc avec un privil\u00e8ge \u00e9lev\u00e9)”, ont soulign\u00e9 les chercheurs. “Cette variante est \u00e9galement capable de modifier d’autres d\u00e9tails des solutions de s\u00e9curit\u00e9 install\u00e9es, comme la d\u00e9sactivation de la mention l\u00e9gale.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n