Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Il nuovo malware AuKill colpisce e termina gli agenti Edr
I ricercatori di Sophos hanno individuato un nuovo malware, denominato AuKill, che viene utilizzato dagli attaccanti per disabilitare i sistemi di endpoint detection and response (EDR) utilizzati dalle aziende, per poi installare ransomware; questo tool fa uso di un device driver malevolo per infiltrarsi nei sistemi.
Gli analisti hanno osservato in diverse occasioni un attaccante che utilizzava AuKill prima di installare il ransomware Medusa Locker; in un altro caso, il tool era stato attivato su un un sistema già compromesso prima di installare il ransomware LockBit.
Christopher Budd, senior manager of threat research at Sophos, ha commentato: “I criminali informatici stanno iniziando a riconoscere che gli agenti EDR forniscono ai vendor di sicurezza un significativo vantaggio nell’individuare gli attacchi. Così stanno colpendo gli strumenti che causano loro maggior difficoltà”.
Fonte: Sophos
Gli attacchi sono simili a una serie di incidenti che Sophos, Microsoft, Mandiant e SentinelOne hanno riportato a dicembre, dove gli attori delle minacce hanno utilizzato driver personalizzati per disabilitare i prodotti di sicurezza su sistemi già compromessi, lasciandoli quindi aperti per essere colpiti con altri software.
In quegli attacchi, gli attori delle minacce hanno utilizzato driver malevoli che Microsoft ha firmato digitalmente in modo inconsapevole, rendendoli quindi legittimi. In altri attacchi basati sui driver, i criminali hanno sfruttato una vulnerabilità in un driver di dispositivo legittimo per eseguire ransomware, elevare i privilegi e bypassare i controlli di sicurezza.
Alcuni vendor di sicurezza e ricercatori chiamano questa famiglia di tecniche “bring your own vulnerable driver” o attacco BYOVD. Anche il nuovo Aukill rientra nella categoria BYOVD: sfrutta, infatti, una versione legittima ma obsoleta e vulnerabile (16.32) di un driver utilizzato dall’utility Process Explorer di SysInternals per disabilitare i processi EDR.
Bring Your Own Vulnerable Driver
Il driver vulnerabile di Process Explorer sfruttato da AuKill, come altri driver, ha accesso privilegiato sui sistemi installati e può agire sui processi in esecuzione, eventualmente anche terminandoli.
Fonte: Sophos
L’utility consente agli utenti di ottenere informazioni dettagliate su tutti i processi in esecuzione su un sistema, i loro percorsi eseguibili, le prestazioni e molte altre informazioni. Offre molteplici funzioni per monitorare l’attività di sistema in tempo reale, prioritizzare i processi e le identità, terminarli ed eseguire altre funzioni.
Nei recenti attacchi ransomware osservati da Sophos, l’attaccante ha iniettato lo strumento nei sistemi a cui aveva già accesso. Una volta sul sistema, AuKill rilascia un driver chiamato PROCEXP.SYS proveniente dalla versione 16.32 di Process Explorer nella stessa posizione del driver di Process Explorer legittimo (PROCEXP152.sys).
Budd ha spiegato: “Il driver di Process Explorer v.16.32 non lavora solo con l’eseguibile principale di Process Explorer. Altri programmi possono quindi inviare chiamate API al driver per sfruttarne le funzioni”.
Fonte: Sophos
Nel caso di AuKill, lo strumento abusa del driver legittimo per eseguire istruzioni che terminano i processi EDR e altri controlli di sicurezza sul computer compromesso. “Il malware sfrutta la funzione esistente nel driver che consente a Process Explorer di terminare i programmi in esecuzione”, ha proseguito Budd.
Sophos ha finora analizzato sei diverse versioni di AuKill e ha notato alcune modifiche sostanziali con ogni nuova versione. Le versioni più recenti, ad esempio, mirano a terminare più processi e servizi EDR.
Inoltre, includono una funzionalità che continua a sondare i processi e i servizi EDR per garantire che i processi terminati rimangano tali anche attraverso tentativi di riavvio. Gli autori del malware hanno aggiunto funzioni per rendere AuKill più robusto, eseguendo più thread contemporaneamente per proteggersi dal rischio di essere terminati.
Condividi l'articolo
- Bring your own vulnerable driver, BYOVD, EDR, LockBit, malware, Medusa, Microsoft, Process Explorer, Ransomware, Sophos, SysInternals
Quasi tre quarti delle vittime di ransomware ha pagato il riscatto
Migliorano le strategie di cybersecurity, ma le minacce continuano a evolvere
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
