Aggiornamenti recenti Settembre 27th, 2023 5:00 PM
Apr 21, 2023 Dario Orlandi Malware, Minacce, News, RSS 0
I ricercatori di Sophos hanno individuato un nuovo malware, denominato AuKill, che viene utilizzato dagli attaccanti per disabilitare i sistemi di endpoint detection and response (EDR) utilizzati dalle aziende, per poi installare ransomware; questo tool fa uso di un device driver malevolo per infiltrarsi nei sistemi.
Gli analisti hanno osservato in diverse occasioni un attaccante che utilizzava AuKill prima di installare il ransomware Medusa Locker; in un altro caso, il tool era stato attivato su un un sistema già compromesso prima di installare il ransomware LockBit.
Christopher Budd, senior manager of threat research at Sophos, ha commentato: “I criminali informatici stanno iniziando a riconoscere che gli agenti EDR forniscono ai vendor di sicurezza un significativo vantaggio nell’individuare gli attacchi. Così stanno colpendo gli strumenti che causano loro maggior difficoltà”.
Fonte: Sophos
Gli attacchi sono simili a una serie di incidenti che Sophos, Microsoft, Mandiant e SentinelOne hanno riportato a dicembre, dove gli attori delle minacce hanno utilizzato driver personalizzati per disabilitare i prodotti di sicurezza su sistemi già compromessi, lasciandoli quindi aperti per essere colpiti con altri software.
In quegli attacchi, gli attori delle minacce hanno utilizzato driver malevoli che Microsoft ha firmato digitalmente in modo inconsapevole, rendendoli quindi legittimi. In altri attacchi basati sui driver, i criminali hanno sfruttato una vulnerabilità in un driver di dispositivo legittimo per eseguire ransomware, elevare i privilegi e bypassare i controlli di sicurezza.
Alcuni vendor di sicurezza e ricercatori chiamano questa famiglia di tecniche “bring your own vulnerable driver” o attacco BYOVD. Anche il nuovo Aukill rientra nella categoria BYOVD: sfrutta, infatti, una versione legittima ma obsoleta e vulnerabile (16.32) di un driver utilizzato dall’utility Process Explorer di SysInternals per disabilitare i processi EDR.
Il driver vulnerabile di Process Explorer sfruttato da AuKill, come altri driver, ha accesso privilegiato sui sistemi installati e può agire sui processi in esecuzione, eventualmente anche terminandoli.
Fonte: Sophos
L’utility consente agli utenti di ottenere informazioni dettagliate su tutti i processi in esecuzione su un sistema, i loro percorsi eseguibili, le prestazioni e molte altre informazioni. Offre molteplici funzioni per monitorare l’attività di sistema in tempo reale, prioritizzare i processi e le identità, terminarli ed eseguire altre funzioni.
Nei recenti attacchi ransomware osservati da Sophos, l’attaccante ha iniettato lo strumento nei sistemi a cui aveva già accesso. Una volta sul sistema, AuKill rilascia un driver chiamato PROCEXP.SYS proveniente dalla versione 16.32 di Process Explorer nella stessa posizione del driver di Process Explorer legittimo (PROCEXP152.sys).
Budd ha spiegato: “Il driver di Process Explorer v.16.32 non lavora solo con l’eseguibile principale di Process Explorer. Altri programmi possono quindi inviare chiamate API al driver per sfruttarne le funzioni”.
Fonte: Sophos
Nel caso di AuKill, lo strumento abusa del driver legittimo per eseguire istruzioni che terminano i processi EDR e altri controlli di sicurezza sul computer compromesso. “Il malware sfrutta la funzione esistente nel driver che consente a Process Explorer di terminare i programmi in esecuzione”, ha proseguito Budd.
Sophos ha finora analizzato sei diverse versioni di AuKill e ha notato alcune modifiche sostanziali con ogni nuova versione. Le versioni più recenti, ad esempio, mirano a terminare più processi e servizi EDR.
Inoltre, includono una funzionalità che continua a sondare i processi e i servizi EDR per garantire che i processi terminati rimangano tali anche attraverso tentativi di riavvio. Gli autori del malware hanno aggiunto funzioni per rendere AuKill più robusto, eseguendo più thread contemporaneamente per proteggersi dal rischio di essere terminati.
Set 27, 2023 0
Set 20, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Set 27, 2023 0
Set 26, 2023 0
Set 25, 2023 0
Set 25, 2023 0
Set 27, 2023 0
I cybercriminali stanno sviluppando nuovi attacchi,...Set 26, 2023 0
Sembra che la cybersecurity sia diventata centrale per il...Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 27, 2023 0
Google ha individuato una nuova vulnerabilità critica, la...Set 25, 2023 0
Il team di sicurezza di Sonatype ha individuato unaSet 25, 2023 0
SentinelLabs e QGroup GmbH hanno individuato un nuovo...Set 22, 2023 0
Signal Foundation, l’azienda dietro l’omonima...Set 22, 2023 0
GitLab ha rilasciato due patch urgenti per risolvere una...