사이버 보안의 글로벌 리더인 Sophos는 AvosLocker라는 새로운 랜섬웨어. 이 공격에서 해커는 Windows 안전 모드 및 AnyDesk 사용 원격 관리 도구.
Windows 안전 모드는 암호를 사용하지 않고 PC를 작동하는 매우 일반적인 방법입니다. 안전 모드에서는 모든 항목에 액세스할 수 없지만 해커는 AnyDesk에 액세스할 수 있다는 것을 알게 되었습니다. AnyDesk를 사용하면 해커가 컴퓨터에 지속적으로 원격 액세스할 수 있습니다.
소포스는 다음과 같이 밝혔다. AvosLocker 공격자가 AnyDesk를 설치했습니다., 그래서 그것은 안전 모드에서 작동합니다. 그들은 안전 모드에서 실행되는 보안 서비스를 비활성화한 다음 안전 모드에서 랜섬웨어를 실행했습니다.
성명에서 Sophos의 사고 대응 책임자인 Peter Mackenzie는 다음과 같이 말했습니다.
“Sophos는 AvosLocker 공격자가 AnyDesk를 설치한 것을 발견하여 안전 모드에서 작동하도록 했습니다. 안전 모드에서 실행되는 보안 솔루션의 구성 요소를 비활성화한 다음 안전 모드에서 랜섬웨어를 실행 방법. 이것은 공격자가 설정한 모든 시스템에 대해 완전한 원격 제어 권한을 갖는 시나리오를 만듭니다. 대상 조직은 AnyDesk에 대한 원격 액세스가 잠겨 있을 가능성이 높습니다. 컴퓨터. Sophos는 이러한 구성 요소 중 일부가 랜섬웨어와 함께 사용되는 것을 본 적이 없으며 확실히 함께 사용된 적이 없습니다.”
AvosLocker는 2021년 6월에 처음 설립된 새로운 랜섬웨어 서비스입니다. Sophos Rapid Response 팀은 Windows 및 Linux 시스템을 대상으로 하는 미국, 중동 및 아시아 태평양 지역에서 AvosLocker 공격을 목격했습니다.
랜섬웨어를 조사하는 연구원들은 공격자가 "love.bat", "update.bat" 또는 "lock.bat"라는 배치 스크립트를 실행하고 실행하기 위해 표적 컴퓨터에서 PDQ Deploy를 사용하고 있음을 발견했습니다. 이 스크립트는 시스템이 랜섬웨어를 해제하고 안전 모드에서 재부팅할 준비가 되도록 하는 일련의 연속적인 명령을 제공합니다.
Peter Mackenzie는 “AvosLocker가 사용하는 기술은 간단하지만 매우 영리합니다. 그들은 랜섬웨어가 안전 모드에서 실행될 가능성이 가장 높은지 확인하고 공격자가 공격하는 동안 시스템에 대한 원격 액세스를 유지할 수 있도록 합니다."
명령 시퀀스는 실행하는 데 약 5초가 걸리며 Windows 업데이트 서비스와 Windows Defender를 비활성화합니다. 그런 다음 안전 모드에서 실행되는 보안 소프트웨어 솔루션의 구성 요소를 비활성화합니다.
합법적인 AnyDesk 도구를 설치하고 네트워크에 연결된 동안 안전 모드에서 실행되도록 설정합니다. 공격자는 명령을 계속 실행하고 제어한 다음 다음을 사용하여 새 계정을 설정합니다. 자동 로그인 세부 정보 및 대상의 도메인 컨트롤러에 연결하여 원격으로 랜섬웨어 액세스 및 실행 업데이트.exe.