Per la sua importanza, l’Antivirus è spesso bersaglio di attacchi informatici. Eludere le difese è uno degli scopi principali per i malware per agire indisturbati e riuscire nel loro compito.

Nel corso degli anni, diverse minacce sono riuscite a disattivare l’antivirus, con conseguente perdita di dati, furto d’informazioni e, in definitiva, danni molto costosi.

La disattivazione dell’antivirus da parte di un malware porta all’esecuzione di script o eseguibili dannosi, al fine di consentirgli di rubare le nostre informazioni, e compromettere il corretto funzionamento dei dispositivi.

AvosLocker, il ransomware che blocca gli antivirus

Questo è il caso di AvosLocker, un ransomware che disattiva le difese degli antivirus.
Questo articolo approfondisce il modo in cui opera questo malware e le contromisure che devono essere implementate.

Che cos’è AvosLocker?

AvosLocker è una variante di un ransomware che utilizza il modello ransomware-as-a-service (RaaS).
Questo malware rende i file inaccessibili al fine di avanzare una richiesta riscatto per il ripristino dei dati.
È stato scoperto per la prima volta nel luglio 2021 e da allora sono state rilasciate diverse versione.

Di seguito le caratteristiche principali del ransomware AvosLocker:

  • Gli attacchi di AvosLocker sono noti per l’uso di AnyDesk, uno strumento di amministrazione remota (RAT), per accedere alle workstation di destinazione. Gli hacker possono utilizzare questo strumento per manipolare e infettare manualmente la macchina.
  • Un altro aspetto importante della strategia di AvosLocker è che lavora in modalità provvisoria.
    Gli hacker riavviano il sistema, disabilitano driver specifici e operano in modalità provvisoria, eludendo alcuni livelli di sicurezza incompatibili con questa modalità.
  • AvosLocker, oltre alla tattica di doppia estorsione, mette all’asta i dati rubati sul suo sito web.
    Questa strategia del gruppo per assicurarsi la massima monetizzazione dei colpi.

Il gruppo AvosLocker, come detto in precedenza, ha distribuito diverse varie varianti del suo ransomware.
Nella seconda versione di AvosLocker è stata notata la strategia dell’esecuzione in modalità provvisoria.

Seguendo la tendenza di prendere di mira le workstation Linux, AvosLocker ha annunciato l’introduzione di un’edizione Linux nell’ottobre 2021.
Questa versione è in grado di prendere di mira le macchine virtuali (VM) ESXi.

Prima di effettuare colpi, gli attori dietro AvosLocker effettuano delle analisi, selezionando i loro obiettivi in base alla loro capacità di pagare il riscatto richiesto e di conseguenza adattano i loro attacchi.

AvosLocker, crittografia dati e richiesta di riscatto

Durante il processo di crittografia, ai file viene aggiunta l’estensione .avos.
Dunque, un file originariamente intitolato qualcosa come “1.jpg” apparirà come “1.jpg.avos”, “2.jpg” come “2.jpg.avos” e così via. Al termine di questo processo, le note di riscatto – “GET_YOUR_FILES_BACK.txt” – vengono inserite nelle cartelle compromesse. L’avviso informa che se il processo di crittografia fosse ancora attivo, lo spegnimento della macchina potrebbe causare il danneggiamento dei file. Le vittime sono avvertite che le chiavi di decrittazione e il software non sono gratuiti. Inoltre, viene indicato di visitare il sito web riportato per ulteriori informazioni; tuttavia, questa pagina è accessibile solo tramite il browser Tor.

Nel sito Web di riferimento, le aziende delle vittime potranno partecipare a una chat dal vivo. Qui, le vittime vengono informate che se il contatto non viene effettuato entro quattro giorni, il riscatto sarà aumentato e parte dei dati sarà resa pubblica online; dieci giorni dopo, tutte le informazioni rubate sarebbero state rese pubbliche. Tuttavia, è possibile testare la decrittazione mediante Il caricamento di un file immagine crittografato di dimensioni non superiori a 1 MB. Nella maggior parte delle infezioni da ransomware, la decrittazione non è fattibile. È possibile se il malware è ancora in fase di sviluppo e/o contiene bug. In ogni situazione, è assolutamente sconsigliabile pagare il riscatto.  Infatti, anche quando le richieste di riscatto vengono soddisfatte, le vittime spesso non ottengono gli strumenti di decrittazione promessi. Di conseguenza, perdono denaro e i loro dati rimangono crittografati. È necessario rimuovere il ransomware AvosLocker dal sistema operativo per impedire ulteriori crittografie. Tuttavia, i file eliminati non possono essere ripristinati. Se una copia di backup dei dati è stata eseguita prima dell’infezione e conservata in una posizione diversa, è l’unico modo per ripristinare i dati.

AvosLocker le analogie con altre minacce

Programmi dannosi nella categoria ransomware includono Hhqa, TRUST, Covid, GoodMorning e Pay Us.
Questo virus crittografa i dati e/o blocca lo schermo del dispositivo per richiedere denaro per la decrittazione/ripristino dell’accesso.
Le tecniche di crittografia che utilizzano (simmetriche o asimmetriche) e l’entità del riscatto sono due variazioni critiche tra queste infezioni.

Se utilizzati contro l’utente medio, gli importi tendono a essere compresi nell’intervallo di un migliaio di euro. Il ransomware rivolto a società, organizzazioni e altre entità significative, d’altra parte, potrebbe richiedere riscatti stravaganti. Poiché le valute digitali sono difficili/impossibili da tracciare, vengono comunemente utilizzate.

Modalità d’infezione AvosLocker

Ransomware e altri virus vengono spesso diffusi attraverso campagne di spam, che sono operazioni su larga scala in cui vengono inviate migliaia di e-mail fraudolente.
Queste e-mail sono generalmente etichettate come “ufficiali”, “urgenti”.

I file dannosi possono essere allegati e/o referenziati all’interno di e-mail di spam. I virus possono essere consegnati in una varietà di forme, inclusi archivi (ZIP, RAR e così via), eseguibili (.exe,.run e così via), documenti PDF e Microsoft Office, JavaScript e così via. Il processo/catena d’infezione (ovvero download/installazione di malware) inizia quando i file vengono aperti.

Queste minacce sono anche ampiamente distribuito tramite fonti di download non affidabili come reti di condivisione peer-to-peer (client Torrent, eMule, Gnutella e così via), siti Web di hosting di file non autorizzati e altri di terze parti downloader. Gli strumenti crack e gli aggiornamenti fasulli sono esempi pratici di diffusione di malware, invece di attivare gli articoli con licenza, gli strumenti di cracking possono infettare i computer.
Gli aggiornamenti falsi diffondono virus sfruttando le vulnerabilità di software obsoleto e/o installando software dannoso al posto degli aggiornamenti.

Come avviene la disabilitazione dell’antivirus da parte di AvosLocker?

I ricercatori di Trend Micro hanno scoperto una variante del ransomware AvosLocker che potrebbe disattivare antivirus, consentendogli di non essere rilevato da alcuna analisi di rilevamento del malware.
Si tratta di un metodo di attacco completamente nuovo che utilizza un file relativo ai driver anti-rootkit realizzati da Avast.
Il file è noto come WarPot.sys e viene utilizzato per disattivare completamente il sistema di controllo antivirale, consentendo essenzialmente all’infezione di non essere rilevata.

Inoltre, il ransomware può utilizzare lo script NSE Nmap per cercare in numerosi endpoint la vulnerabilità Log4j Log4shell.

Il probabile punto d’ingresso per gli attacchi sarebbe un exploit connesso al servizio Zoho ManageEngine ADSelfService Plus (ADSS), che presenta una vulnerabilità CVE-2021-40539.
Eseguendo mshta.exe, il ransomware avvia un’applicazione HTML su un server remoto controllato da hacker; quindi, scarica e installa uno strumento desktop remoto e altri strumenti per disattivare l’antivirus ed esaminare la rete di riferimento utilizzando uno script PowerShell offuscato.

AvosLocker può inoltre disabilitare le funzionalità di sicurezza per Windows Update, Windows Defender e Windows Error Recovery oltre a quanto segue:

  • impedire l’esecuzione di Safeboot dei prodotti di sicurezza;
  • creazione di un nuovo account amministratore;
  • lanciare il ransomware per AvosLocker;
  • disinnescare la didascalia dell’avviso legale.

Come prevenire gli attacchi da AvosLocker ransomware?

Concludendo, è possibile rimanere protetti dagli attacchi di AvosLocker ransomware seguendo le seguenti raccomandazioni:

  • Affidare la sicurezza informatica ad aziende specializzate.
    Purtroppo molte aziende prendono coscienza dei rischi legati alla mancanza di adeguata protezione dei propri dati solo dopo un evento di un attacco andato a segno. Affidare la sicurezza informatica ad una azienda come la nostra è la migliore soluzione per mettere in sicurezza rapidamente la propria azienda.
  • Ignorare eventuali e-mail da caselle di posta sconosciuti
    e/o sospetti con indirizzi insoliti o con materiale che non ha alcun collegamento a ciò che stai aspettando (puoi vincere una lotteria senza parteciparvi?). Se è probabile che l’oggetto dell’e-mail sia qualcosa con un carattere d’urgenza, esamina attentamente tutti gli aspetti del messaggio. Un’e-mail contraffatta conterrà quasi sicuramente un errore.
  • Non utilizzare software crackato o inaffidabile.
    I trojan vengono spesso forniti come parte di software crackati, magari mascherati da “patch” che evitano il controllo della licenza. Le applicazioni non affidabili, d’altra parte, sono difficili da differenziare dal software affidabile poiché anche i trojan possono offrire le funzionalità desiderate.
    Puoi provare a raccogliere informazioni su questo programma nei forum anti-malware, ma l’approccio migliore è evitare di utilizzare tali app in primo luogo.
  • La segmentazione della rete.
    Per ridurre la possibilità che il ransomware faccia crollare l’intera rete aziendale. Devono inoltre essere predisposti solidi piani di backup per evitare la perdita di dati in caso di attacco riuscito.
  • L’autenticazione a più fattori.
    Dovrebbe essere implementata per tutti i servizi connessi a Internet, inclusi l’accesso VPN e le piattaforme webmail. L’accesso deve essere configurato con il minor numero di privilegi possibili.
  • Formazione del personale.
    Ogni dipendente dovrebbe essere formato e informato sulle e-mail di phishing e altre tecniche d’ingegneria sociale che possono essere utilizzate dalla criminalità informatica.