Cybersecurity-Forscher haben eine neue Variante der AvosLocker Ransomware aufgedeckt, die Antivirenlösungen deaktiviert, um der Erkennung zu entgehen, nachdem sie in Zielnetzwerke eingedrungen ist, indem sie ungepatchte Sicherheitslücken ausnutzt.
„Dies ist das erste von uns beobachtete Beispiel aus den USA, bei dem eine legitime Avast Anti-Rootkit-Treiberdatei (asWarPot.sys) verwendet wurde, um eine Abwehrlösung zu deaktivieren“, so die Trend Micro Forscher Christoper Ordonez und Alvin Nieto in einer Analyse vom Montag.
„Darüber hinaus ist die Ransomware in der Lage, mehrere Endpunkte mit dem Nmap NSE-Skript auf die Log4j-Schwachstelle (Log4shell) zu scannen“.
AvosLocker, eine der neueren Ransomware-Familien, die das von REvil hinterlassene Vakuum füllen, wurde mit einer Reihe von Angriffen in Verbindung gebracht, die auf kritische Infrastrukturen in den USA abzielten, darunter Finanzdienstleistungen und Regierungseinrichtungen.
AvosLocker ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die erstmals im Juli 2021 entdeckt wurde. Sie geht über eine doppelte Erpressung hinaus, indem sie die von den Opfern gestohlenen Daten versteigert, wenn sich die Zielpersonen weigern, das Lösegeld zu zahlen.
Weitere Opfer des Ransomware-Kartells sollen sich in Syrien, Saudi-Arabien, Deutschland, Spanien, Belgien, der Türkei, den Vereinigten Arabischen Emiraten, dem Vereinigten Königreich, Kanada, China und Taiwan befinden, wie das U.S. Federal Bureau of Investigation (FBI) im März 2022 mitteilte.
Die von Trend Micro gesammelten Telemetriedaten zeigen, dass die Lebensmittel- und Getränkeindustrie zwischen dem 1. Juli 2021 und dem 28. Februar 2022 am stärksten betroffen war, gefolgt von den Bereichen Technologie, Finanzen, Telekommunikation und Medien.
Es wird vermutet, dass der Angriff durch die Ausnutzung einer Schwachstelle in der ManageEngine ADSelfService Plus Software von Zoho (CVE-2021-40539) zur Ausführung einer HTML-Anwendung (HTA) auf einem entfernten Server ermöglicht wurde.
„Die HTA führte ein verschleiertes PowerShell-Skript aus, das einen Shellcode enthält, der sich mit dem [Command-and-Control]-Server verbinden kann, um beliebige Befehle auszuführen“, erklären die Forscher.
Dazu gehört das Abrufen einer ASPX-Web-Shell vom Server sowie eines Installationsprogramms für die AnyDesk-Remote-Desktop-Software. Letztere wird verwendet, um zusätzliche Tools zum Scannen des lokalen Netzwerks, zum Beenden von Sicherheitssoftware und zum Ablegen der Ransomware-Nutzlast einzusetzen.
Zu den Komponenten, die auf den infizierten Endpunkt kopiert werden, gehören ein Nmap-Skript, das das Netzwerk auf die Log4Shell-Schwachstelle (CVE-2021-44228) zur Remotecodeausführung scannt, und ein Massenverteilungs-Tool namens PDQ, das ein bösartiges Batch-Skript an mehrere Endpunkte verteilt.
Das Batch-Skript ist mit einer Vielzahl von Funktionen ausgestattet, die es ihm ermöglichen, Windows Update, Windows Defender und die Windows-Fehlerbehebung zu deaktivieren, die sichere Ausführung von Sicherheitsprodukten zu verhindern, ein neues Administratorkonto zu erstellen und das Ransomware-Binary zu starten.
Außerdem wird aswArPot.sys, ein legitimer Avast Anti-Rootkit-Treiber, verwendet, um Prozesse, die mit verschiedenen Sicherheitslösungen verbunden sind, zu beenden, indem eine inzwischen behobene Schwachstelle im Treiber ausgenutzt wird, die das tschechische Unternehmen im Juni 2021 behoben hat.
„Wir haben uns für die Rootkit-Treiberdatei entschieden, weil sie im Kernelmodus ausgeführt werden kann (und damit mit hohen Rechten arbeitet)“, so die Forscher. „Diese Variante ist auch in der Lage, andere Details der installierten Sicherheitslösungen zu verändern, z. B. das Impressum zu deaktivieren.