Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Il nuovo malware AuKill colpisce e termina gli agenti Edr
I ricercatori di Sophos hanno individuato un nuovo malware, denominato AuKill, che viene utilizzato dagli attaccanti per disabilitare i sistemi di endpoint detection and response (EDR) utilizzati dalle aziende, per poi installare ransomware; questo tool fa uso di un device driver malevolo per infiltrarsi nei sistemi.
Gli analisti hanno osservato in diverse occasioni un attaccante che utilizzava AuKill prima di installare il ransomware Medusa Locker; in un altro caso, il tool era stato attivato su un un sistema già compromesso prima di installare il ransomware LockBit.
Christopher Budd, senior manager of threat research at Sophos, ha commentato: “I criminali informatici stanno iniziando a riconoscere che gli agenti EDR forniscono ai vendor di sicurezza un significativo vantaggio nell’individuare gli attacchi. Così stanno colpendo gli strumenti che causano loro maggior difficoltà”.
Fonte: Sophos
Gli attacchi sono simili a una serie di incidenti che Sophos, Microsoft, Mandiant e SentinelOne hanno riportato a dicembre, dove gli attori delle minacce hanno utilizzato driver personalizzati per disabilitare i prodotti di sicurezza su sistemi già compromessi, lasciandoli quindi aperti per essere colpiti con altri software.
In quegli attacchi, gli attori delle minacce hanno utilizzato driver malevoli che Microsoft ha firmato digitalmente in modo inconsapevole, rendendoli quindi legittimi. In altri attacchi basati sui driver, i criminali hanno sfruttato una vulnerabilità in un driver di dispositivo legittimo per eseguire ransomware, elevare i privilegi e bypassare i controlli di sicurezza.
Alcuni vendor di sicurezza e ricercatori chiamano questa famiglia di tecniche “bring your own vulnerable driver” o attacco BYOVD. Anche il nuovo Aukill rientra nella categoria BYOVD: sfrutta, infatti, una versione legittima ma obsoleta e vulnerabile (16.32) di un driver utilizzato dall’utility Process Explorer di SysInternals per disabilitare i processi EDR.
Bring Your Own Vulnerable Driver
Il driver vulnerabile di Process Explorer sfruttato da AuKill, come altri driver, ha accesso privilegiato sui sistemi installati e può agire sui processi in esecuzione, eventualmente anche terminandoli.
Fonte: Sophos
L’utility consente agli utenti di ottenere informazioni dettagliate su tutti i processi in esecuzione su un sistema, i loro percorsi eseguibili, le prestazioni e molte altre informazioni. Offre molteplici funzioni per monitorare l’attività di sistema in tempo reale, prioritizzare i processi e le identità, terminarli ed eseguire altre funzioni.
Nei recenti attacchi ransomware osservati da Sophos, l’attaccante ha iniettato lo strumento nei sistemi a cui aveva già accesso. Una volta sul sistema, AuKill rilascia un driver chiamato PROCEXP.SYS proveniente dalla versione 16.32 di Process Explorer nella stessa posizione del driver di Process Explorer legittimo (PROCEXP152.sys).
Budd ha spiegato: “Il driver di Process Explorer v.16.32 non lavora solo con l’eseguibile principale di Process Explorer. Altri programmi possono quindi inviare chiamate API al driver per sfruttarne le funzioni”.
Fonte: Sophos
Nel caso di AuKill, lo strumento abusa del driver legittimo per eseguire istruzioni che terminano i processi EDR e altri controlli di sicurezza sul computer compromesso. “Il malware sfrutta la funzione esistente nel driver che consente a Process Explorer di terminare i programmi in esecuzione”, ha proseguito Budd.
Sophos ha finora analizzato sei diverse versioni di AuKill e ha notato alcune modifiche sostanziali con ogni nuova versione. Le versioni più recenti, ad esempio, mirano a terminare più processi e servizi EDR.
Inoltre, includono una funzionalità che continua a sondare i processi e i servizi EDR per garantire che i processi terminati rimangano tali anche attraverso tentativi di riavvio. Gli autori del malware hanno aggiunto funzioni per rendere AuKill più robusto, eseguendo più thread contemporaneamente per proteggersi dal rischio di essere terminati.
Condividi l'articolo
- Bring your own vulnerable driver, BYOVD, EDR, LockBit, malware, Medusa, Microsoft, Process Explorer, Ransomware, Sophos, SysInternals
Quasi tre quarti delle vittime di ransomware ha pagato il riscatto
Migliorano le strategie di cybersecurity, ma le minacce continuano a evolvere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
