Aggiornamenti recenti Giugno 1st, 2023 9:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le vulnerabilità software non patchate spianano la strada ai ransomware
- Per Fortinet il 2023 sarà l’anno del cybercrime-as-a-service
- Discord: l’aggiornamento degli username crea problemi di privacy
- Tre aziende su quattro perdono i backup a causa del ransomware
- Scoperto COSMICENERGY, nuovo malware che colpisce le reti elettriche
Il nuovo malware AuKill colpisce e termina gli agenti Edr
I ricercatori di Sophos hanno individuato un nuovo malware, denominato AuKill, che viene utilizzato dagli attaccanti per disabilitare i sistemi di endpoint detection and response (EDR) utilizzati dalle aziende, per poi installare ransomware; questo tool fa uso di un device driver malevolo per infiltrarsi nei sistemi.
Gli analisti hanno osservato in diverse occasioni un attaccante che utilizzava AuKill prima di installare il ransomware Medusa Locker; in un altro caso, il tool era stato attivato su un un sistema già compromesso prima di installare il ransomware LockBit.
Christopher Budd, senior manager of threat research at Sophos, ha commentato: “I criminali informatici stanno iniziando a riconoscere che gli agenti EDR forniscono ai vendor di sicurezza un significativo vantaggio nell’individuare gli attacchi. Così stanno colpendo gli strumenti che causano loro maggior difficoltà”.
Fonte: Sophos
Gli attacchi sono simili a una serie di incidenti che Sophos, Microsoft, Mandiant e SentinelOne hanno riportato a dicembre, dove gli attori delle minacce hanno utilizzato driver personalizzati per disabilitare i prodotti di sicurezza su sistemi già compromessi, lasciandoli quindi aperti per essere colpiti con altri software.
In quegli attacchi, gli attori delle minacce hanno utilizzato driver malevoli che Microsoft ha firmato digitalmente in modo inconsapevole, rendendoli quindi legittimi. In altri attacchi basati sui driver, i criminali hanno sfruttato una vulnerabilità in un driver di dispositivo legittimo per eseguire ransomware, elevare i privilegi e bypassare i controlli di sicurezza.
Alcuni vendor di sicurezza e ricercatori chiamano questa famiglia di tecniche “bring your own vulnerable driver” o attacco BYOVD. Anche il nuovo Aukill rientra nella categoria BYOVD: sfrutta, infatti, una versione legittima ma obsoleta e vulnerabile (16.32) di un driver utilizzato dall’utility Process Explorer di SysInternals per disabilitare i processi EDR.
Bring Your Own Vulnerable Driver
Il driver vulnerabile di Process Explorer sfruttato da AuKill, come altri driver, ha accesso privilegiato sui sistemi installati e può agire sui processi in esecuzione, eventualmente anche terminandoli.
Fonte: Sophos
L’utility consente agli utenti di ottenere informazioni dettagliate su tutti i processi in esecuzione su un sistema, i loro percorsi eseguibili, le prestazioni e molte altre informazioni. Offre molteplici funzioni per monitorare l’attività di sistema in tempo reale, prioritizzare i processi e le identità, terminarli ed eseguire altre funzioni.
Nei recenti attacchi ransomware osservati da Sophos, l’attaccante ha iniettato lo strumento nei sistemi a cui aveva già accesso. Una volta sul sistema, AuKill rilascia un driver chiamato PROCEXP.SYS proveniente dalla versione 16.32 di Process Explorer nella stessa posizione del driver di Process Explorer legittimo (PROCEXP152.sys).
Budd ha spiegato: “Il driver di Process Explorer v.16.32 non lavora solo con l’eseguibile principale di Process Explorer. Altri programmi possono quindi inviare chiamate API al driver per sfruttarne le funzioni”.
Fonte: Sophos
Nel caso di AuKill, lo strumento abusa del driver legittimo per eseguire istruzioni che terminano i processi EDR e altri controlli di sicurezza sul computer compromesso. “Il malware sfrutta la funzione esistente nel driver che consente a Process Explorer di terminare i programmi in esecuzione”, ha proseguito Budd.
Sophos ha finora analizzato sei diverse versioni di AuKill e ha notato alcune modifiche sostanziali con ogni nuova versione. Le versioni più recenti, ad esempio, mirano a terminare più processi e servizi EDR.
Inoltre, includono una funzionalità che continua a sondare i processi e i servizi EDR per garantire che i processi terminati rimangano tali anche attraverso tentativi di riavvio. Gli autori del malware hanno aggiunto funzioni per rendere AuKill più robusto, eseguendo più thread contemporaneamente per proteggersi dal rischio di essere terminati.
Condividi l'articolo
- Bring your own vulnerable driver, BYOVD, EDR, LockBit, malware, Medusa, Microsoft, Process Explorer, Ransomware, Sophos, SysInternals
Quasi tre quarti delle vittime di ransomware ha pagato il riscatto
Migliorano le strategie di cybersecurity, ma le minacce continuano a evolvere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le vulnerabilità software non patchate spianano la strada... Kaspersky ha pubblicato il suo Incident Response report,... -
Per Fortinet il 2023 sarà l’anno del... A margine del Security Day, il principale evento dedicato... -
Discord: l’aggiornamento degli username crea problemi... Lo scorso 3 maggio Discord ha annunciato... -
Tre aziende su quattro perdono i backup a causa del... Veeam ha pubblicato i risultato del 2023 Ransomware Trends... -
Scoperto COSMICENERGY, nuovo malware che colpisce le reti... Mandiant ha individuato un nuovo malware creato per colpire...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Discord: l’aggiornamento degli username crea problemi... Lo scorso 3 maggio Discord ha annunciato...
-
Scoperto COSMICENERGY, nuovo malware che colpisce le reti... Mandiant ha individuato un nuovo malware creato per colpire...
-
Le imprese scelgono fornitori esterni per gestire la... La carenza di esperti di sicurezza ha portato le imprese... -
Una vulnerabilità di Keepass rende accessibile la master... Il ricercatore di sicurezza vdohney ha individuato e... -
Microsoft e i fix inefficaci: trovata una vulnerabilità... La patch di Microsoft che avrebbe dovuto risolvere la...
Ransomware: la serie
No posts found.
