Il ransomware WastedLocker sta abusando di una funzione di gestione della memoria di Windows per eludere il rilevamento da parte del software di sicurezza. Prima di capire come WastedLocker sta sfuggendo al rilevamento, è necessario capire come le soluzioni anti-ransomware lo rilevano.
Le soluzioni anti-ransomware monitorano il sistema operativo per le system call ai file tradizionalmente utilizzate dal ransomware durante la crittografia di un file. Come parte delle soluzioni anti-ransomware, il software di sicurezza registra un driver mini-filtro che gli consente di monitorare le system call che interagiscono con un file system in tempo reale.
Se questo driver rileva un processo sconosciuto che esegue molte operazioni sequenziali aprendo un file, scrivendo su di esso e quindi chiudendo il file, verrà attivato un rilevamento comportamentale e il processo incriminato verrà terminato. Questo metodo di rilevamento comportamentale essenzialmente sacrifica alcuni file per rilevare comportamenti dannosi e impedire la crittografia del resto dell’unità.
Nel corso delle ultime settimane, il WastedLocker Ransomware è diventato famoso dopo essere stato attribuito al gruppo di hacking Evil Corp, usato per attaccare Garmin. In un nuovo rapporto , i ricercatori sulla sicurezza di Sophos spiegano come WastedLocker utilizzi Windows Cache Manager per eludere il rilevamento.
Per aumentare le prestazioni di Windows, i file di uso comune o i file specificati da un’applicazione vengono letti e archiviati nella cache di Windows, che utilizza la memoria di sistema. Se un programma ha bisogno di accedere a un file, il sistema operativo verificherà se è nella cache e, in tal caso, lo caricherà da lì. Poiché i dati vengono memorizzati nella cache, è molto più veloce accedere ai relativi contenuti rispetto alla lettura da un’unità disco.
Per aggirare il rilevamento da parte delle soluzioni anti-ransomware, WastedLocker include una routine che apre un file, lo legge in Windows Cache Manager e quindi chiude il file originale. Poiché i dati risultano ora archiviati in Windows Cache Manager, WastedLocker crittograferà il contenuto del file archiviato nella cache, anziché il file archiviato nel file system.
Quando i contenuti di un file archiviato nella cache di Windows vengono modificati, diventano “sporchi”. Quando un numero sufficiente di dati si sporca, Windows Cache Manager riscrive i dati memorizzati nella cache crittografati nei loro file originali.
Poiché Windows Cache Manager è in esecuzione come system process, il software di sicurezza vedrà la scrittura dei dati crittografati da un processo di Windows consentito e legittimo. Per questo motivo, i rilevamenti comportamentali nel software anti-ransomware vedranno un processo consentito durante la scrittura dei dati crittografati e non rileveranno che qualcosa non va. Questo metodo aggira efficacemente i moduli di protezione ransomware di una soluzione di sicurezza e consente a WastedLocker di crittografare tutti i file.
Mark Loman, Director of Engineering presso SurfRight, società a suo tempo acquisita da Sophos, ha spiegato che la loro tecnologia CryptoGuard è stata aggiornata per rilevare e bloccare attacchi come quello posto in essere dal ransomwre WastedLocker. “Il nuovo motore di difesa universale contro i ransomware – CryptoGuard – è adesso capace di bloccare l’escamotage basato sull’utilizzo di Windows Cache Manager“, ha dichiarato Loman.
Con l’uso di tecniche avanzate come Windows Cache Manager, WastedLocker è una minaccia ransomware che dovrebbe preoccupare tutte le organizzazioni.
Seguendo semplici procedure di sicurezza come non usare password predefinite per portali di accesso remoti, utilizzare l’ autenticazione a più fattori e garantire che le patch di sicurezza vengano applicate il prima possibile, le organizzazioni possono evitare di cadere vittime di attacchi di malware, molti dei quali utilizzano vulnerabilità note da tempo. Però, fino a quando questi protocolli di sicurezza non saranno applicati su tutta la linea, i ransomware rimarranno una grave minaccia.
https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/
https://www.cybertrends.it/garmin-attacco-ransomware-causa-interruzione-a-livello-globale/
