A Sophos lançou uma nova pesquisa sobre o ransomware AvosLocker no artigo “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode”. O relatório explica como os cibercriminosos tentam contornar os controles de segurança por meio de uma combinação do modo de segurança do Windows e a ferramenta de administração remota AnyDesk. O modo de segurança do Windows é um método de suporte para resolver problemas de TI que desabilita a maioria das ferramentas de segurança e administração, enquanto o AnyDesk fornece acesso remoto contínuo.
O AvosLocker é um ransomware como serviço relativamente novo, tendo aparecido pela primeira vez no final de junho de 2021, e tem uma crescente popularidade , de acordo com a Sophos. Até o momento, a equipe de pesquisadores observou ataques envolvendo o AvosLocker nas Américas, Oriente Médio e Ásia-Pacífico, com foco em sistemas Windows e Linux.
De acordo com Peter Mackenzie, Diretor de Resposta a Incidentes da Sophos, os atacantes do AvosLocker instalaram o AnyDesk no modo de segurança, tentaram desabilitar os componentes das soluções que rodam neste formato e, em seguida, executaram o ransomware no modo seguro. Isso cria um cenário no qual os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente tem o acesso remoto bloqueado para esses computadores. A equipe não tinha visto esses componentes utilizados para ransomware e certamente nunca não juntos.
“A mensagem para as equipes de segurança de TI que enfrentam esse tipo de ataque é que, mesmo que o ransomware falhe na execução, até que eles limpem todos os rastros da implantação do AnyDesk dos invasores em cada máquina afetada, elas permanecerão expostas, pois os invasores têm acesso à rede da organização e pode bloqueá-la novamente a qualquer momento”, completa o executivo
O processo de implantação de ransomware
Os pesquisadores da Sophos responsáveis por investigar a implantação do ransomware descobriram que a sequência principal começa com invasores que utilizam o PDQ Deploy para executar um script em lote chamado “love.bat”, “update.bat” ou “lock.bat” nas máquinas-alvo. O script emite e implementa uma série de comandos que preparam os dispositivos para o lançamento do ransomware e, em seguida, se reinicia no modo de segurança.
A sequência de comando leva aproximadamente cinco segundos para ser executada e inclui o seguinte:
•Desativação dos serviços de atualização do Windows e Windows Defender;
•Tentativa de desativação dos componentes de soluções de software de segurança comercial que podem ser executados no modo de segurança;
•Instalação da ferramenta legítima de administração remota AnyDesk e configuração para ser executada no modo de segurança enquanto estiver conectada à rede, o que garante comando e controle contínuos por parte do invasor;
•Configuração de uma nova conta com detalhes de login automático e, em seguida, conexão ao controlador de domínio de destino para acesso remoto e execução do ransomware, chamada update.exe.
“As técnicas usadas pelo AvosLocker são simples, porém muito inteligentes. Elas garantem que o ransomware tenha uma melhor chance de rodar no modo de segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque”, comenta Mackenzie. “A Sophos relatou que Snatch e BlackMatter implementaram a técnica, no entanto, nenhum dos grupos de ransomware tentou instalar um aplicativo subsequente, como AnyDesk, para comando e controle das máquinas no modo de segurança. Acreditamos que esta é a primeira vez que um ataque assim ocorre”, conclui o executivo.
