Ransomware AvosLocker utiliza AnyDesk em modo de segurança para lançar ataques

AvosLocker apareceu pela primeira vez em junho de 2021 e registra crescimento de popularidade

Compartilhar:

A Sophos lançou uma nova pesquisa sobre o ransomware AvosLocker no artigo “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode”. O relatório explica como os cibercriminosos tentam contornar os controles de segurança por meio de uma combinação do modo de segurança do Windows e a ferramenta de administração remota AnyDesk. O modo de segurança do Windows é um método de suporte para resolver problemas de TI que desabilita a maioria das ferramentas de segurança e administração, enquanto o AnyDesk fornece acesso remoto contínuo.

 

O AvosLocker é um ransomware como serviço relativamente novo, tendo aparecido pela primeira vez no final de junho de 2021, e tem uma crescente popularidade , de acordo com a Sophos. Até o momento, a equipe de pesquisadores observou ataques envolvendo o AvosLocker nas Américas, Oriente Médio e Ásia-Pacífico, com foco em sistemas Windows e Linux.

 

De acordo com Peter Mackenzie, Diretor de Resposta a Incidentes da Sophos, os atacantes do AvosLocker instalaram o AnyDesk no modo de segurança, tentaram desabilitar os componentes das soluções que rodam neste formato e, em seguida, executaram o ransomware no modo seguro. Isso cria um cenário no qual os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente tem o acesso remoto bloqueado para esses computadores. A equipe não tinha visto esses componentes utilizados para ransomware e certamente nunca não juntos.

 

“A mensagem para as equipes de segurança de TI que enfrentam esse tipo de ataque é que, mesmo que o ransomware falhe na execução, até que eles limpem todos os rastros da implantação do AnyDesk dos invasores em cada máquina afetada, elas permanecerão expostas, pois os invasores têm acesso à rede da organização e pode bloqueá-la novamente a qualquer momento”, completa o executivo

 

O processo de implantação de ransomware

 

Os pesquisadores da Sophos responsáveis por investigar a implantação do ransomware descobriram que a sequência principal começa com invasores que utilizam o PDQ Deploy para executar um script em lote chamado “love.bat”, “update.bat” ou “lock.bat” nas máquinas-alvo. O script emite e implementa uma série de comandos que preparam os dispositivos para o lançamento do ransomware e, em seguida, se reinicia no modo de segurança.

 

A sequência de comando leva aproximadamente cinco segundos para ser executada e inclui o seguinte:

 

•Desativação dos serviços de atualização do Windows e Windows Defender;

•Tentativa de desativação dos componentes de soluções de software de segurança comercial que podem ser executados no modo de segurança;

•Instalação da ferramenta legítima de administração remota AnyDesk e configuração para ser executada no modo de segurança enquanto estiver conectada à rede, o que garante comando e controle contínuos por parte do invasor;

•Configuração de uma nova conta com detalhes de login automático e, em seguida, conexão ao controlador de domínio de destino para acesso remoto e execução do ransomware, chamada update.exe.

 

“As técnicas usadas pelo AvosLocker são simples, porém muito inteligentes. Elas garantem que o ransomware tenha uma melhor chance de rodar no modo de segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque”, comenta Mackenzie. “A Sophos relatou que Snatch e BlackMatter implementaram a técnica, no entanto, nenhum dos grupos de ransomware tentou instalar um aplicativo subsequente, como AnyDesk, para comando e controle das máquinas no modo de segurança. Acreditamos que esta é a primeira vez que um ataque assim ocorre”, conclui o executivo.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...
Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente