Ransomware: AvosLocker disattiva l'antivirus

Il team di ricercatori di Trend Micro ha scovato una nuova variante del ransomware denominato AvosLocker, minaccia informatica già nota agli esperti del settore, la quale si è evoluta e ora è in grado di aggirare alcuni dei controlli antivirus che vengono posti per tutelare i dati, i dispositivi e le reti.

AvosLocker: ecco come il ransomware disattiva la protezione antivirus

Il ransomware riesce a entrare in azione sfruttando un driver valido per disabilitare l’antivirus e quindi per aggirare i sistemi di rilevamento. Più precisamente, il file adoperato da AvosLocker è asWarPot.sys, un anti-rootkit assolutamente legittimo.

Il potenziale punto di ingresso degli attacchi sarebbe un exploit relativo al servizio Zoho ManageEngine ADSelfService Plus (ADSS), la cui vulnerabilità è stata siglata come CVE-2021-40539. Tramite l’esecuzione di mshta.exe, il ransomware va ad avviare un’applicazione HTML su un server remoto sotto il controllo dei malintenzionati e sfruttando uno script PowerShell offuscato va a scaricare e installare un tool di remote dekstop e ulteriori strumenti per disabilitare gli antivirus e analizzare la rete di riferimento.

Tra le protezioni che AvosLocker è in grado di disabilitare sfruttando la procedura descritta poc'anzi ci sono quelle relative a Windows Update e Windows Defender, oltre che Windows Error Recovery.

Gli esperti di sicurezza ritengono che sia Avast che AVG, sia in versione aziendale che per gli utenti privati, sono in grado di rilevare e bloccare la variante. Chi adopera soluzioni antivirus differenti, invece, deve provvedere ad aggiornare Windows con gli ultimi update di sicurezza e assicurarsi che l’antivirus in uso sia aggiornato alla versione più recente.