![Cum să schimbați fundalul pe Zoom (desktop și mobil)](/f/f4b9d68799bad49e132846d83606f117.jpg?width=100&height=100)
Un lider global în securitatea cibernetică, a descoperit Sophos un nou ransomware numit AvosLocker. În acest atac, hackerii sunt folosind Windows Safe Mode și AnyDesk instrument de administrare la distanță.
Modul de siguranță Windows este o metodă foarte comună de a opera un computer fără a utiliza o parolă. În modul sigur, nu putem accesa totul, dar hackerii au aflat că pot accesa AnyDesk. Cu AnyDesk, hackerii au acces continuu de la distanță la computere.
Sophos a dezvăluit asta Atacatorii AvosLocker au instalat AnyDesk, deci funcționează în Safe Mode. Au dezactivat serviciile de securitate care rulează în modul Safe și apoi au rulat ransomware-ul în Safe Mode.
Într-o declarație, directorul de răspuns la incident la Sophos, Peter Mackenzie, a declarat:
„Sophos a descoperit că atacatorii AvosLocker au instalat AnyDesk, așa că funcționează în Safe Mode, a încercat să dezactivați componentele soluțiilor de securitate care rulează în modul Safe și apoi rulați ransomware-ul în Safe Modul. Acest lucru creează un scenariu în care atacatorii au control complet de la distanță asupra fiecărei mașini pe care au setat-o cu AnyDesk, în timp ce organizația țintă este probabil blocată de accesul de la distanță la aceștia calculatoare. Sophos nu a văzut niciodată unele dintre aceste componente folosite cu ransomware și cu siguranță nu împreună.”
AvosLocker a fost fondat pentru prima dată în iunie 2021, este un nou serviciu ransomware. Echipa Sophos Rapid Response a văzut atacurile AvosLocker din America, Orientul Mijlociu și regiunile Asia-Pacific care vizează sistemele Windows și Linux.
Cercetătorii care investighează ransomware-ul au descoperit că atacatorii folosesc PDQ Deploy pe mașinile vizate pentru a rula și executa scriptul batch numit „love.bat”, „update.bat” sau „lock.bat”. Scriptul oferă o serie de comenzi consecutive care fac ca mașinile să fie gata să lanseze ransomware-ul și să repornească în modul Safe.
Peter Mackenzie a spus: „Tehnicile folosite de AvosLocker sunt simple, dar foarte inteligente. Ei se asigură că ransomware-ul are cele mai bune șanse de a rula în modul sigur și permit atacatorilor să păstreze accesul de la distanță la mașini pe tot parcursul atacului.”
Secvența de comandă durează aproximativ cinci secunde pentru a se executa și dezactivează serviciile de actualizare Windows și Windows Defender. Apoi dezactivează componentele soluțiilor software de securitate care rulează în modul sigur.
Instalați instrumentul legal AnyDesk și setați-l să ruleze în modul sigur în timp ce sunteți conectat la rețea. Atacatorii se asigură că continuă să ruleze comanda și să o controleze, apoi au creat un cont nou cu detalii de conectare automată și conectați-vă la controlerele de domeniu ale țintei pentru a accesa și rula de la distanță ransomware-ul numit update.exe.