AvosLocker Ransomware Yeni Taktikleriyle Sürpriz Yapıyor
Nispeten yeni bir fidye yazılımı ailesi olan AvosLocker, güvenlik yazılımlarından kaçmak için yeni taktikler benimserken saldırılarını artırıyor.
İlk olarak Temmuz ayında gözlemlenen grup, şimdi kurbanlarını hedef almak için Windows Güvenli Modda AnyDesk'i kullanıyor.
Ne var ne yok?
Sophos Labs araştırmacıları, erişim aracıları gibi ortaklar aramaya devam eden fidye yazılımının faaliyetlerini bildirdi.
- Son kampanyalarında, fidye yazılımı aktörleri artık Windows sistemlerini Güvenli Modda başlatıyor çünkü birçok uç nokta güvenlik ürünü bu modda çalışmıyor.
- Ayrıca, AnyDesk yazılımını ağa bağlıyken Güvenli Modda çalıştırmak, saldırganın virüslü makineler üzerinde kontrolü elinde tutmasına olanak tanır.
- Enfeksiyondan sonra, AvosLocker operatörleri, AnyDesk'in kurulumuna izin vermek için Güvenli Mod önyükleme ayarlarını değiştirirken, hedeflenen sistemi son aşamalar için Güvenli Mod'da yeniden başlatır.
- Bu gibi durumlarda, gerçek bir kullanıcı bir bilgisayarı uzaktan yönetemeyebilir ve sistemi çalıştırmak için fiziksel erişim gerektirebilir.
VMware ESXi hedeflendi
- AvosLocker'ın en son varyantı, herhangi bir sanal makineyi sonlandırarak VMware ESXi hiper yönetici sunucularını hedefleyen ve ardından VM dosyalarını şifreleyen bir Linux bileşenine sahiptir.
- Araştırmacılar, saldırganların ESX Shell'i etkinleştirmek veya sunucuya erişmek için gereken yönetici kimlik bilgilerini nasıl elde ettiğini araştırıyor.
Ek teknik ayrıntılar
Uzmanlar, AvosLocker tarafından kullanılan birkaç ek taktik tespit etti.
- Saldırganlar, Love[.]bat, update[.]bat ve lock[.]bat gibi hedef makineler için toplu komut dosyalarını yaymak için PDQ Deploy aracını kullandılar.
- Bu komut dosyaları, yalnızca beş saniye içinde Güvenli Modda çalışabilen güvenlik ürünlerini devre dışı bırakabilir, Windows Defender'ı devre dışı bırakabilir ve saldırganın AnyDesk aracının Güvenli Modda çalışmasına izin verebilir.
- Komut dosyaları, otomatik oturum açma bilgileriyle yeni bir hesap oluşturur ve yürütülebilir fidye yazılımı güncelleme[.]exe'ye uzaktan erişmek ve başlatmak için hedefin etki alanı denetleyicisine bağlanır.
Çözüm
AvosLocker, genellikle güvenlik ekipleri için uğraşması çok zor olan, insan kontrollü fidye yazılımı saldırı gruplarından biridir. Analistlerin ve yöneticilerin ağlarındaki şüpheli etkinliklere karşı tetikte olmaları ve olası tehditlere karşı önlem almak için proaktif önlemler almaları önerilir.
Kaynak: https://cyware.com/news/avoslocker-ransomware-surprises-with-new-tactics-5c329cce
E-posta listesine katılın
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.