A Sophos, empresa global em cibersegurança de próxima geração, lançou uma nova pesquisa sobre o ransomware AvosLocker no artigo “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode”. O relatório explica como os cibercriminosos tentam contornar os controles de segurança por meio de uma combinação do modo de segurança do Windows e a ferramenta de administração remota AnyDesk. O modo de segurança do Windows é um método de suporte para resolver problemas de TI que desabilita a maioria das ferramentas de segurança e administração, enquanto o AnyDesk fornece acesso remoto contínuo.
O AvosLocker é um ransomware como serviço (“ransomware-as-a-service”) relativamente novo, tendo aparecido pela primeira vez no final de junho de 2021, e tem uma crescente popularidade , de acordo com a Sophos. Até o momento, a equipe da Sophos Rapid Response observou ataques envolvendo o AvosLocker nas Américas, Oriente Médio e Ásia-Pacífico, com foco em sistemas Windows e Linux.
“A Sophos descobriu que os atacantes do AvosLocker instalaram o AnyDesk no modo de segurança, tentaram desabilitar os componentes das soluções que rodam neste formato e, em seguida, executaram o ransomware no modo seguro. Isso cria um cenário no qual os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente tem o acesso remoto bloqueado para esses computadores. A equipe não tinha visto esses componentes utilizados para ransomware e certamente nunca não juntos”, explica Peter Mackenzie, Diretor de Resposta a Incidentes da Sophos. “A mensagem para as equipes de segurança de TI que enfrentam esse tipo de ataque é que, mesmo que o ransomware falhe na execução, até que eles limpem todos os rastros da implantação do AnyDesk dos invasores em cada máquina afetada, elas permanecerão expostas, pois os invasores têm acesso à rede da organização e pode bloqueá-la novamente a qualquer momento”, completa o executivo.
O processo de implantação de ransomware
Os pesquisadores da Sophos responsáveis por investigar a implantação do ransomware descobriram que a sequência principal começa com invasores que utilizam o PDQ Deploy para executar um script em lote chamado “love.bat”, “update.bat” ou “lock.bat” nas máquinas-alvo. O script emite e implementa uma série de comandos que preparam os dispositivos para o lançamento do ransomware e, em seguida, se reinicia no modo de segurança.
A sequência de comando leva aproximadamente cinco segundos para ser executada e inclui o seguinte:
Desativação dos serviços de atualização do Windows e Windows Defender;
Tentativa de desativação dos componentes de soluções de software de segurança comercial que podem ser executados no modo de segurança;
Instalação da ferramenta legítima de administração remota AnyDesk e configuração para ser executada no modo de segurança enquanto estiver conectada à rede, o que garante comando e controle contínuos por parte do invasor;
Configuração de uma nova conta com detalhes de login automático e, em seguida, conexão ao controlador de domínio de destino para acesso remoto e execução do ransomware, chamada update.exe.
“As técnicas usadas pelo AvosLocker são simples, porém muito inteligentes. Elas garantem que o ransomware tenha uma melhor chance de rodar no modo de segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque”, comenta Mackenzie. “A Sophos relatou que Snatch e BlackMatter implementaram a técnica, no entanto, nenhum dos grupos de ransomware tentou instalar um aplicativo subsequente, como AnyDesk, para comando e controle das máquinas no modo de segurança. Acreditamos que esta é a primeira vez que um ataque assim ocorre”, conclui o executivo.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo