E se un ransomware fosse in grado di eludere i sistemi di sicurezza, disabilitandoli? Purtroppo, sta già accadendo. È il caso di AvosLocker, minaccia informatica ben nota agli addetti ai lavori, ora evoluta in modo da aggirare alcuni dei controlli posti a tutela dei dati, dei dispositivi e delle reti. A renderlo noto è il risultato di uno studio condotto dai ricercatori di Trend Micro, realtà che propone una piattaforma unificata per la cybersecurity.
AvosLocker, l’evoluzione del ransomware
Al fine di colpire i propri obiettivi, il codice maligno fa leva sulla vulnerabilità CVE-2021-40539 che interessa il software ManageEngine ADSelfService Plus. In questo modo, lancia mshta.exe che a sua volta richiama un file HTA (HTML Application) ospitato su un server C&C remoto, consentendo infine l’attivazione di uno script PowerShell e la successiva esecuzione di comandi stabiliti da chi esegue l’attacco. Tutti i dettagli di natura tecnica sono consultabili nel report completo.
Abbiamo trovato campioni del ransomware AvosLocker che sfruttano un driver legittimo per disabilitare le soluzioni antivirus ed eludere i controlli.
Tra le protezioni che AvosLocker è in grado di disabilitare, sfruttando questa complessa procedura, ci sono anche quelle relative a Windows Update, Windows Defender e Windows Error Recovery.
Così come altre minacce rilevate in ambito ransomware, mette in ginocchio i sistemi di sicurezza passando da vulnerabilità scovate all’interno dei network e che non sono ancora state risolte. Il driver legittimo a cui si fa riferimento appartiene ad Avast (nel dettaglio è asWarPot.sys). Lo sviluppatore ha confermato l’esistenza del problema, comunicando però di averlo risolto nel giugno dello scorso anno con il passaggio alla versione 21.5.
Il consiglio è dunque, come sempre, quello di controllare e accertarsi che i software impiegati siano sempre aggiornati alle ultime release disponibili. In caso contrario, ci si espone a potenziali rischi molto elevati.