AvosLocker: il Ransomware che disabilita l’Antivirus
I sistemi di sicurezza delle infrastrutture tecnologiche possono essere paragonati alle mura delle fortezze medievali che proteggevano il cuore delle città e i suoi abitanti da nemici e invasori.
Allo stesso modo, gli strumenti di sicurezza proteggono file e documenti, che contengono dati e informazioni sensibili, dagli attacchi informatici di virus, ransomware, malware e altre cyber-minacce.
Via via che ci si avvicina al cuore della fortezza i controlli aumentano, le zone accessibili diminuiscono drasticamente e le possibilità di essere bloccati dalle guardie aumentano moltissimo.
Ma cosa succederebbe al nostro castello tecnologico se improvvisamente venisse disattivato il sistema di sicurezza principale, in questo caso l’Antivirus?
La trama potrebbe sembrare anche avvincente se romanzata in uno scenario cavalleresco e medievale, ma, se ad essere in pericolo sono i nostri dati aziendali, che in mani sbagliate rischierebbero di compromettere il nostro business, allora la situazione cambia radicalmente.
È chiaro che l’Antivirus svolge un ruolo centrale nella protezione dei nostri dispositivi e che, a monte di tutti gli altri sistemi di sicurezza, è lo strumento di controllo principale che scansiona ogni file, documento, codice o programma installato, analizzandone il contenuto e il funzionamento.
Proprio per la sua importanza, spesso l’Antivirus è nel mirino di attacchi informatici e sono state numerosissime nel corso degli anni le minacce che riuscendo a disattivarlo hanno causato perdite di dati, furti di informazioni e di conseguenza danni anche molto onerosi.
Dunque, disattivare l’Antivirus significare dare la totale libertà di accesso ed esecuzione a qualsiasi file, documento o programma esterno, nella maggior parte dei casi malevoli, che rubano le nostre informazioni, le cancellano e compromettono il funzionamento dei nostri dispositivi, bloccando in primo luogo l’operatività e in un secondo momento l’intero business.
È stata identificata una nuova variante del ransomware AvosLocker che, proprio come i suoi predecessori, sfruttando un file di driver legittimo, riesce a disabilitare le soluzioni antivirus per eludere il rilevamento dopo aver violato le reti di destinazione sfruttando falle di sicurezza non sanate.
Inoltre, dal rapporto pubblicato dai ricercatori Christoper Ordonez e Alvin Nieto di TrendMicro è emerso che il ransomware è anche in grado di scansionare più endpoint per la vulnerabilità Log4j Log4shell utilizzando lo script NMAP NSE. In particolare, lo script PowerShell scaricherebbe, installerebbe e avvierebbe lo strumento desktop remoto AnyDeskMSI bypassando i firewall e consentendo la distribuzione di ulteriori strumenti e componenti sulle macchine compromesse per scansionare la rete locale e disabilitare i prodotti di sicurezza.
Purtroppo, come già evidenziato in passato, un attacco condotto mediante il ransomware AvosLocker è un problema difficile da affrontare perché la relativa soluzione di sicurezza deve occuparsi non solo del ransomware stesso, ma anche di tutti i meccanismi impostati dagli attaccanti come porta di accesso alla rete mirata.
Pertanto, si consiglia a tutti i professionisti di sicurezza e amministratori di rete di aggiornare i sistemi operativi, in quanto le macchine adeguatamente aggiornate con Windows 10 e 11 non sono vulnerabili a questo tipo di attacco, e di verificare lo stato e la corretta esecuzione degli antivirus.
#EpromSolutions #News #CyberSecurity #Ransomware #AvosLocker