Hackers usam AnyDesk em modo de segurança para lançar ataques


0

AvosLocker é um novo ransomware-as-a-service, que apareceu pela primeira vez em junho de 2021.

Líder global em segurança cibernética, a Sophos descobriu um novo ransomware chamado AvosLocker. Neste ataque, os hackers estão usando o Modo de Segurança do Windows e a ferramenta de administração remota AnyDesk.

O Modo de segurança do Windows é um método muito comum para operar um PC sem usar uma senha. No modo de segurança, não podemos acessar tudo, mas os hackers descobriram que eles podem acessar AnyDesk. Com o AnyDesk, os hackers obtiveram acesso remoto contínuo aos computadores.

O Sophos revelou que os atacantes do AvosLocker instalaram o AnyDesk, então ele funciona no modo de segurança. Eles desabilitaram os serviços de segurança executados no Modo de Segurança e, em seguida, executaram o ransomware no Modo de Segurança.

AvosLocker Ransomware reinicia em modo de segurança para contornar as ferramentas de segurança

Hackers usam AnyDesk em modo de segurança para lançar ataques

Em nota, o diretor de resposta a incidentes da Sophos, Peter Mackenzie, afirmou:

“A Sophos descobriu que os atacantes do AvosLocker instalaram o AnyDesk, para que funcionasse no Modo de Segurança, tentaram desabilitar os componentes das soluções de segurança que rodam no Modo de Segurança e então executaram o ransomware no Modo de Segurança. Isso cria um cenário em que os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente está bloqueada para acesso remoto a esses computadores. A Sophos nunca viu alguns desses componentes usados ​​com ransomware, e certamente não juntos. ”

AvosLocker foi fundado em junho de 2021, é um novo serviço de ransomware. A equipe do Sophos Rapid Response viu os ataques AvosLocker na América, Oriente Médio e regiões da Ásia-Pacífico visando sistemas Windows e Linux.

Os pesquisadores que investigam o ransomware descobriram que os invasores estão usando o PDQ Deploy nas máquinas direcionadas para executar e executar o script em lote chamado “love.bat”, “update.bat” ou “lock.bat”. O script fornece uma série de comandos consecutivos que tornam as máquinas prontas para liberar o ransomware e reinicializar no Modo de Segurança.

Peter Mackenzie disse, “As técnicas usadas pelo AvosLocker são simples, mas muito inteligentes. Eles garantem que o ransomware tenha a melhor chance de ser executado no Modo de Segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque. ”

A sequência de comando leva cerca de cinco segundos para ser executada e desativa os serviços de atualização do Windows e o Windows Defender. Em seguida, ele desativa os componentes das soluções de software de segurança que são executados no Modo de Segurança.

Instale a ferramenta AnyDesk legal e configure-a para ser executada no modo de segurança enquanto estiver conectado à rede. Os invasores certificam-se de continuar executando o comando e controlá-lo e, em seguida, configuram uma nova conta com detalhes de login automático e se conectam aos controladores de domínio do alvo para acessar remotamente e executar o ransomware chamado update.exe.


Like it? Share with your friends!

0

What's Your Reaction?

hate hate
0
hate
confused confused
0
confused
fail fail
0
fail
fun fun
0
fun
geeky geeky
0
geeky
love love
0
love
lol lol
0
lol
omg omg
0
omg
win win
0
win

0 Comments

Your email address will not be published. Required fields are marked *

Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Meme
Upload your own images to make custom memes
Video
Youtube, Vimeo or Vine Embeds
Audio
Soundcloud or Mixcloud Embeds
Image
Photo or GIF
Gif
GIF format