Lale Çorumlu

Ne var ne yok?

• Son kampanyalarında, fidye yazılımı aktörleri artık Windows sistemlerini Güvenli Modda başlatıyor çünkü birçok uç nokta güvenlik ürünü bu modda çalışmıyor.
• Ayrıca, AnyDesk yazılımını ağa bağlıyken Güvenli Modda çalıştırmak, saldırganın virüslü makineler üzerinde kontrolü elinde tutmasına olanak tanır.
• Enfeksiyondan sonra, AvosLocker operatörleri, AnyDesk'in kurulumuna izin vermek için Güvenli Mod önyükleme ayarlarını değiştirirken, hedeflenen sistemi son aşamalar için Güvenli Mod'da yeniden başlatır.
• Bu gibi durumlarda, gerçek bir kullanıcı bir bilgisayarı uzaktan yönetemeyebilir ve sistemi çalıştırmak için fiziksel erişim gerektirebilir.

VMware ESXi hedeflendi

• AvosLocker'ın en son varyantı, herhangi bir sanal makineyi sonlandırarak VMware ESXi hiper yönetici sunucularını hedefleyen ve ardından VM dosyalarını şifreleyen bir Linux bileşenine sahiptir.
• Araştırmacılar, saldırganların ESX Shell'i etkinleştirmek veya sunucuya erişmek için gereken yönetici kimlik bilgilerini nasıl elde ettiğini araştırıyor.

Ek teknik ayrıntılar

• Saldırganlar, Love[.]bat, update[.]bat ve lock[.]bat gibi hedef makineler için toplu komut dosyalarını yaymak için PDQ Deploy aracını kullandılar.
• Bu komut dosyaları, yalnızca beş saniye içinde Güvenli Modda çalışabilen güvenlik ürünlerini devre dışı bırakabilir, Windows Defender'ı devre dışı bırakabilir ve saldırganın AnyDesk aracının Güvenli Modda çalışmasına izin verebilir.
• Komut dosyaları, otomatik oturum açma bilgileriyle yeni bir hesap oluşturur ve yürütülebilir fidye yazılımı güncelleme[.]exe'ye uzaktan erişmek ve başlatmak için hedefin etki alanı denetleyicisine bağlanır.

Çözüm

AvosLocker, genellikle güvenlik ekipleri için uğraşması çok zor olan, insan kontrollü fidye yazılımı saldırı gruplarından biridir. Analistlerin ve yöneticilerin ağlarındaki şüpheli etkinliklere karşı tetikte olmaları ve olası tehditlere karşı önlem almak için proaktif önlemler almaları önerilir.