Nelle ultime settimane, i ricercatori Sophos hanno scoperto che una famiglia di ransomware emergente soprannominata AvosLocker ha intensificato i suoi attacchi utilizzando una tecnica già vista e utilizzata in passato da altri gruppi ransomware quali Snatch, REvil e BlackMatter.
Gli attaccanti, allo scopo di poter eseguire il proprio ransomware, sfruttano una particolare tecnica che consente loro di riavviare i computer compromessi in modalità provvisoria: questo perché la maggior parte dei prodotti per la sicurezza degli endpoint non viene eseguita nella nota configurazione diagnostica di Windows, in cui vengono disabilitati la maggior parte dei driver e del software di terze parti.
Indice degli argomenti
Gli strumenti adoperati dagli operatori AvosLocker
La variante allestita dal gruppo criminale AvosLocker sfrutta diversi altri strumenti complementari per la riuscita degli attacchi. Secondo la ricostruzione fatta dai ricercatori, gli attori malevoli avrebbero utilizzato:
- AnyDesk, il popolare strumento legittimo di controllo remoto PC, installandolo grazie a una preventiva modifica della configurazione della modalità provvisoria del sistema Windows compromesso e prevedendone l’impiego per un avvio del ransomware manuale qualora il processo finale di esecuzione automatica fallisse;
- il tool Chisel reperibile su GitHub per creare un tunnel HTTP con crittografia SSH da usare come canale di feedback;
- lo strumento di gestione IT commerciale PDQ Deploy per inviare gli script batch di Windows alle macchine di destinazione.
Gli script batch usati da AvosLocker
Lo scopo degli script batch è quello di governare le fasi degli attacchi preparando il terreno per la fase finale in cui gli attori delle minacce distribuiscono il ransomware Avos Locker.
Il processo di infezione prevede la creazione di una chiave “RunOnce” nel registro di sistema che esegue il payload del ransomware in modalità unfiless, prelevandolo da una posizione sul controller di dominio senza intaccare il filesystem del computer infetto (comportamento già seguito da altri ransomware tra i quali IcedID).
Tutti i file batch vengono eseguiti prima che il sistema venga riavviato in modalità provvisoria per modificare o eliminare anche le chiavi di registro impostate dai principali strumenti di sicurezza degli endpoint per garantire la loro persistenza (Windows Defender, prodotti di Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender e Cylance).
Gli aggressori hanno anche utilizzato uno di questi script batch per creare sulla macchina infetta un account “newadmin” con privilegi amministrativi assegnandogli la password “password123456”.
La nota della doppia estorsione
Il messaggio di richiesta di riscatto “GET_YOUR_FILES_BACK.txt” afferma che i dati delle vittime sono stati crittografati e documenti sensibili esfiltrati.
Le vittime sono informate che dovranno pagare per ricevere le chiavi di decrittazione e il relativo software. Per avere maggiori informazioni, la nota indica di visitare il sito web collegato e accessibile solo tramite il browser Tor utilizzando l’ID assegnato in calce al messaggio.
Il messaggio avverte, inoltre, che se il contatto non paga, il data leak verrà divulgato online con un comunicato stampa sul proprio blog e il riscatto aumenterà.
Un bel rompicapo per i team di sicurezza IT
Purtroppo, un attacco condotto mediante il ransomware AvosLocker è un problema difficile da affrontare perché la relativa soluzione di sicurezza deve occuparsi non solo del ransomware stesso, ma anche di tutti i meccanismi impostati dagli attaccanti come porta di accesso alla rete mirata.
“Il messaggio chiave per i team di sicurezza IT che devono affrontare un tale attacco è che anche se il ransomware non viene eseguito, fino a quando ogni traccia dell’implementazione AnyDesk degli aggressori non sarà scomparsa da ogni macchina colpita, gli obiettivi rimarranno vulnerabili a ripetuti tentativi”, ha commentato il ricercatore Sophos Andrew Brandt.
“In questi casi, in cui gli aggressori di AvosLocker configurano l’accesso alla rete della loro organizzazione utilizzando AnyDesk”, continua, “gli aggressori possono bloccare i difensori o eseguire attacchi aggiuntivi in qualsiasi momento purché gli strumenti di accesso remoto degli aggressori rimangano installati e funzionanti”.
La soluzione migliore per mitigare la minaccia del ransomware AvosLocker consiste nell’adottare misure di sicurezza capaci di effettuare analisi comportamentali sull’uso delle chiavi di registro Run e RunOnce, in modo da bloccare preventivamente attività anomali come, per l’appunto, il riavvio del sistema in modalità provvisoria o eseguire un file subito dopo il riavvio del sistema. L’unico problema, in questo caso, potrebbe essere quello dei falsi positivi, in quanto molti software legittimi utilizzano queste chiavi di registro per le normali operazioni.
