Ransomware AvosLocker utiliza AnyDesk em modo de segurança para lançar ataques

AvosLocker apareceu pela primeira vez em junho de 2021 e registra crescimento de popularidade

Compartilhar:

A Sophos lançou uma nova pesquisa sobre o ransomware AvosLocker no artigo “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode”. O relatório explica como os cibercriminosos tentam contornar os controles de segurança por meio de uma combinação do modo de segurança do Windows e a ferramenta de administração remota AnyDesk. O modo de segurança do Windows é um método de suporte para resolver problemas de TI que desabilita a maioria das ferramentas de segurança e administração, enquanto o AnyDesk fornece acesso remoto contínuo.

 

O AvosLocker é um ransomware como serviço relativamente novo, tendo aparecido pela primeira vez no final de junho de 2021, e tem uma crescente popularidade , de acordo com a Sophos. Até o momento, a equipe de pesquisadores observou ataques envolvendo o AvosLocker nas Américas, Oriente Médio e Ásia-Pacífico, com foco em sistemas Windows e Linux.

 

De acordo com Peter Mackenzie, Diretor de Resposta a Incidentes da Sophos, os atacantes do AvosLocker instalaram o AnyDesk no modo de segurança, tentaram desabilitar os componentes das soluções que rodam neste formato e, em seguida, executaram o ransomware no modo seguro. Isso cria um cenário no qual os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente tem o acesso remoto bloqueado para esses computadores. A equipe não tinha visto esses componentes utilizados para ransomware e certamente nunca não juntos.

 

“A mensagem para as equipes de segurança de TI que enfrentam esse tipo de ataque é que, mesmo que o ransomware falhe na execução, até que eles limpem todos os rastros da implantação do AnyDesk dos invasores em cada máquina afetada, elas permanecerão expostas, pois os invasores têm acesso à rede da organização e pode bloqueá-la novamente a qualquer momento”, completa o executivo

 

O processo de implantação de ransomware

 

Os pesquisadores da Sophos responsáveis por investigar a implantação do ransomware descobriram que a sequência principal começa com invasores que utilizam o PDQ Deploy para executar um script em lote chamado “love.bat”, “update.bat” ou “lock.bat” nas máquinas-alvo. O script emite e implementa uma série de comandos que preparam os dispositivos para o lançamento do ransomware e, em seguida, se reinicia no modo de segurança.

 

A sequência de comando leva aproximadamente cinco segundos para ser executada e inclui o seguinte:

 

•Desativação dos serviços de atualização do Windows e Windows Defender;

•Tentativa de desativação dos componentes de soluções de software de segurança comercial que podem ser executados no modo de segurança;

•Instalação da ferramenta legítima de administração remota AnyDesk e configuração para ser executada no modo de segurança enquanto estiver conectada à rede, o que garante comando e controle contínuos por parte do invasor;

•Configuração de uma nova conta com detalhes de login automático e, em seguida, conexão ao controlador de domínio de destino para acesso remoto e execução do ransomware, chamada update.exe.

 

“As técnicas usadas pelo AvosLocker são simples, porém muito inteligentes. Elas garantem que o ransomware tenha uma melhor chance de rodar no modo de segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque”, comenta Mackenzie. “A Sophos relatou que Snatch e BlackMatter implementaram a técnica, no entanto, nenhum dos grupos de ransomware tentou instalar um aplicativo subsequente, como AnyDesk, para comando e controle das máquinas no modo de segurança. Acreditamos que esta é a primeira vez que um ataque assim ocorre”, conclui o executivo.

 

Conteúdos Relacionados

Security Report | Overview

CTIR Gov orienta governo a monitorar sistemas de proteção após Apagão Cibernético

Com a identificação do incidente que colheu a plataforma Falcon, da CrowdStrike, e da Microsoft, O órgão de Prevenção a...
Security Report | Overview

Incidentes de TI estão no topo dos riscos para a continuidade dos negócios, aponta pesquisa

1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios, apresentada no segundo trimestre deste ano, identifica...
Security Report | Overview

54% das empresas consideram erros humanos um vetor crítico de ciberataques

Estudo da ManageEngine revelou que ameaças externas ainda são a maioria entre os golpes realizados, mas falhas de funcionários preocupam
Security Report | Overview

Apenas 23% das senhas ativas exigem mais de um ano para serem decifradas

Levantamento da Kaspersky analisa 193 milhões de senhas na darknet e indica que 87 milhões delas poderiam ser descobertas em...