![Ako extrahovať stránky z PDF do počítača alebo smartphonu](/f/18c7107dfbff8f4918dd0d938ce2eddc.jpg?width=100&height=100)
Sophos, svetový líder v oblasti kybernetickej bezpečnosti, objavil nový ransomvér s názvom AvosLocker. V tomto útoku sú hackeri pomocou núdzového režimu Windows a AnyDesk nástroj pre vzdialenú správu.
Núdzový režim systému Windows je veľmi bežný spôsob ovládania počítača bez použitia hesla. V núdzovom režime nemáme prístup ku všetkému, ale hackeri zistili, že majú prístup k AnyDesk. S AnyDesk získali hackeri nepretržitý vzdialený prístup k počítačom.
Sophos to prezradil Útočníci AvosLocker nainštalovali AnyDesk, takže funguje v núdzovom režime. Zakázali bezpečnostné služby, ktoré bežia v núdzovom režime, a potom spustili ransomvér v núdzovom režime.
Vo vyhlásení uviedol riaditeľ reakcie na incidenty v spoločnosti Sophos Peter Mackenzie:
„Sophos zistil, že útočníci AvosLocker nainštalovali AnyDesk, takže funguje v núdzovom režime, pokúsili sa deaktivujte súčasti bezpečnostných riešení, ktoré sú spustené v núdzovom režime, a potom spustili ransomvér v núdzovom režime Režim. To vytvára scenár, v ktorom majú útočníci úplnú diaľkovú kontrolu nad každým počítačom, ktorý nastavili s AnyDesk, zatiaľ čo cieľová organizácia pravdepodobne nebude mať k nim vzdialený prístup počítačov. Sophos nikdy nevidel, že by sa niektoré z týchto komponentov používali s ransomvérom a už vôbec nie spolu.“
AvosLocker bol prvýkrát založený v júni 2021, ide o novú ransomvérovú službu. Tím Sophos Rapid Response zaznamenal útoky AvosLocker v Amerike, na Strednom východe a v ázijsko-pacifických regiónoch zameraných na systémy Windows a Linux.
Výskumníci, ktorí skúmali ransomvér, zistili, že útočníci používajú PDQ Deploy na cieľových počítačoch na spustenie a spustenie dávkového skriptu s názvom „love.bat“, „update.bat“ alebo „lock.bat“. Skript poskytuje sériu po sebe nasledujúcich príkazov, vďaka ktorým sú stroje pripravené na uvoľnenie ransomvéru a reštartovanie v núdzovom režime.
Peter Mackenzie povedal: „Techniky používané AvosLockerom sú jednoduché, ale veľmi chytré. Zabezpečujú, že ransomvér má najlepšiu šancu na spustenie v núdzovom režime a umožňujú útočníkom zachovať si vzdialený prístup k počítačom počas celého útoku.
Spustenie sekvencie príkazov trvá približne päť sekúnd a zakáže aktualizačné služby systému Windows a program Windows Defender. Potom zakáže súčasti riešení bezpečnostného softvéru, ktoré bežia v núdzovom režime.
Nainštalujte legálny nástroj AnyDesk a nastavte ho na spustenie v núdzovom režime pri pripojení k sieti. Útočníci sa ubezpečia, že pokračujú v spúšťaní príkazu a ovládajú ho, a potom si založia nový účet s automatické prihlasovacie údaje a pripojenie k radičom domény cieľa na vzdialený prístup a spustenie volaného ransomvéru update.exe.