Công ty an ninh mạng Sophos cho biết:AvosLocker truy cập hộp từ xa, thậm chí chạy ở chế độ an toàn”, đã chia sẻ những phát hiện của mình về ransomware có tên AvosLocker. Nghiên cứu của Sophos cho phép kẻ tấn công vô hiệu hóa hầu hết các công cụ quản lý CNTT và bảo mật trong khi giải quyết các vấn đề về CNTT. Windows Nó làm rõ cách họ có thể vượt qua kiểm tra bảo mật bằng cách sử dụng tính năng Chế độ an toàn và công cụ quản trị từ xa AnyDesk cùng nhau.
AvosLocker là một ransomware hướng dịch vụ mới xuất hiện lần đầu tiên vào cuối tháng 6 năm 2021 và ngày càng phổ biến. Phản hồi nhanh của Sophos đội cho đến nay ở khu vực Châu Mỹ, Trung Đông và Châu Á Thái Bình Dương Windows và các cuộc tấn công AvosLocker nhắm vào các hệ thống Linux.
Peter Mackenzie, Giám đốc nhóm ứng phó sự cố của Sophos, cung cấp thông tin chi tiết::
“Những kẻ đứng sau AvosLocker đang tập trung vào việc vô hiệu hóa các thành phần giải pháp bảo mật và kích hoạt ransomware sau khi cài đặt AnyDesk trên các hệ thống mục tiêu để chạy ở Chế độ An toàn. Vì vậy, họ có quyền kiểm soát từ xa toàn diện đối với tất cả các hệ thống mà họ nhắm tới. Tại Sophos, chúng tôi chưa bao giờ thấy một số thành phần này được sử dụng cùng nhau theo cách này để phát tán ransomware. Các nhóm bảo mật CNTT đối mặt với các cuộc tấn công như vậy cần phải lưu ý rằng rủi ro vẫn còn cho đến khi dấu vết cài đặt AnyDesk trên tất cả các máy bị ảnh hưởng được xóa sạch.”
Quá trình phân phối ransomware AvosLocker hoạt động như thế nào?
Quan sát hành vi của ransomware, các nhà nghiên cứu của Sophos phát hiện ra rằng cuộc tấn công bắt đầu khi PDQ Deploy sử dụng PDQ Deploy để thực thi các tập lệnh bó có tên “love.bat”, “update.bat” hoặc “lock.bat” trên các máy mục tiêu. Các tập lệnh được đề cập chứa một loạt lệnh tuần tự chuẩn bị cho máy phân phối ransomware và khởi động lại chúng ở Chế độ an toàn.
Quá trình lệnh, được hoàn thành trong khoảng năm giây, thực hiện các bước sau theo thứ tự:
- Windows cập nhật dịch vụ và Windows Hậu vệ bị vô hiệu hóa.
- Cố gắng vô hiệu hóa các thành phần của giải pháp phần mềm bảo mật thương mại có thể chạy ở Chế độ An toàn.
- Công cụ quản trị từ xa hợp pháp AnyDesk được cài đặt và thiết lập để chạy ở Chế độ an toàn, tạo cơ sở hạ tầng kiểm soát lệnh mà kẻ tấn công có thể sử dụng.
- Một tài khoản mới được tạo bằng thông tin đăng nhập tự động và được kết nối với bộ điều khiển miền mục tiêu để chạy từ xa phần mềm ransomware thực thi có tên “update.exe”.
Nhấn mạnh rằng các kỹ thuật mà AvosLocker sử dụng rất đơn giản nhưng rất thông minh, Mackenzie cho biết: “Với phương pháp được áp dụng, ransomware sẽ chạy ở Chế độ an toàn và những kẻ tấn công duy trì quyền truy cập từ xa vào máy. trước đây là Sophos giật Và vật chất đenChúng tôi đã thấy điều đó. Tuy nhiên, không có nhóm ransomware nào cố gắng cài đặt một ứng dụng như AnyDesk để ra lệnh và điều khiển máy khi ở Chế độ an toàn. Đây là lần đầu tiên chúng tôi gặp phải tình huống như vậy”.
sophos Đánh chặn X và các sản phẩm bảo mật điểm cuối Sophos khác có thể giữ an toàn cho hệ thống bằng cách phát hiện hành vi của phần mềm ransomware AvosLocker và các cuộc tấn công khác.
Để biết thêm thông tin Đến bài viết SophosLabs Uncut bạn có thể xem qua
