Hackers usam AnyDesk em modo de segurança para lançar ataques


0

AvosLocker é um novo ransomware-as-a-service, que apareceu pela primeira vez em junho de 2021.

Líder global em segurança cibernética, a Sophos descobriu um novo ransomware chamado AvosLocker. Neste ataque, os hackers estão usando o Modo de Segurança do Windows e a ferramenta de administração remota AnyDesk.

O Modo de segurança do Windows é um método muito comum para operar um PC sem usar uma senha. No modo de segurança, não podemos acessar tudo, mas os hackers descobriram que eles podem acessar AnyDesk. Com o AnyDesk, os hackers obtiveram acesso remoto contínuo aos computadores.

O Sophos revelou que os atacantes do AvosLocker instalaram o AnyDesk, então ele funciona no modo de segurança. Eles desabilitaram os serviços de segurança executados no Modo de Segurança e, em seguida, executaram o ransomware no Modo de Segurança.

AvosLocker Ransomware reinicia em modo de segurança para contornar as ferramentas de segurança

Hackers usam AnyDesk em modo de segurança para lançar ataques

Em nota, o diretor de resposta a incidentes da Sophos, Peter Mackenzie, afirmou:

“A Sophos descobriu que os atacantes do AvosLocker instalaram o AnyDesk, para que funcionasse no Modo de Segurança, tentaram desabilitar os componentes das soluções de segurança que rodam no Modo de Segurança e então executaram o ransomware no Modo de Segurança. Isso cria um cenário em que os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente está bloqueada para acesso remoto a esses computadores. A Sophos nunca viu alguns desses componentes usados ​​com ransomware, e certamente não juntos. ”

AvosLocker foi fundado em junho de 2021, é um novo serviço de ransomware. A equipe do Sophos Rapid Response viu os ataques AvosLocker na América, Oriente Médio e regiões da Ásia-Pacífico visando sistemas Windows e Linux.

Os pesquisadores que investigam o ransomware descobriram que os invasores estão usando o PDQ Deploy nas máquinas direcionadas para executar e executar o script em lote chamado “love.bat”, “update.bat” ou “lock.bat”. O script fornece uma série de comandos consecutivos que tornam as máquinas prontas para liberar o ransomware e reinicializar no Modo de Segurança.

Peter Mackenzie disse, “As técnicas usadas pelo AvosLocker são simples, mas muito inteligentes. Eles garantem que o ransomware tenha a melhor chance de ser executado no Modo de Segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque. ”

A sequência de comando leva cerca de cinco segundos para ser executada e desativa os serviços de atualização do Windows e o Windows Defender. Em seguida, ele desativa os componentes das soluções de software de segurança que são executados no Modo de Segurança.

Instale a ferramenta AnyDesk legal e configure-a para ser executada no modo de segurança enquanto estiver conectado à rede. Os invasores certificam-se de continuar executando o comando e controlá-lo e, em seguida, configuram uma nova conta com detalhes de login automático e se conectam aos controladores de domínio do alvo para acessar remotamente e executar o ransomware chamado update.exe.


Like it? Share with your friends!

0

What's Your Reaction?

hate hate
0
hate
confused confused
0
confused
fail fail
0
fail
fun fun
0
fun
geeky geeky
0
geeky
love love
0
love
lol lol
0
lol
omg omg
0
omg
win win
0
win

0 Comments

Your email address will not be published. Required fields are marked *