AvosLocker ransomware sorprende con nuevas tácticas
AvosLocker, una familia de ransomware relativamente nueva, está aumentando sus ataques mientras adopta nuevas tácticas para evadir el software de seguridad. Observado por primera vez en el mes de julio , el grupo ahora está usando AnyDesk en modo seguro de Windows para apuntar a sus víctimas.
¿Qué hay de nuevo?
Los investigadores de Sophos Labs informaron sobre las actividades del ransomware, que continúa buscando socios como agentes de acceso.
- En sus campañas recientes, los actores del ransomware ahora están iniciando los sistemas Windows en modo seguro, porque muchos productos de seguridad para terminales no funcionan en este modo.
- Además, ejecutar el software AnyDesk en modo seguro mientras está conectado a la red permite al atacante mantener el control sobre las máquinas infectadas.
- Después de la infección, los operadores de AvosLocker reinician el sistema de destino en modo seguro para las etapas finales, mientras modifican la configuración de arranque del modo seguro para permitir la instalación de AnyDesk.
- En tales casos, es posible que un usuario auténtico no pueda administrar una computadora de forma remota y requiera acceso físico para operar el sistema.
Dirigido a VMware ESXi
- La última variante de AvosLocker tiene un componente de Linux que se dirige a los servidores del hipervisor VMware ESXi al terminar cualquier máquina virtual y luego encripta los archivos de la VM.
- Los investigadores están investigando cómo los atacantes obtienen las credenciales de administrador necesarias para habilitar ESX Shell o acceder al servidor.
Detalles técnicos adicionales
Los expertos detectaron varias tácticas adicionales utilizadas por AvosLocker.
- Los atacantes utilizaron la herramienta PDQ Deploy para difundir secuencias de comandos por lotes para las máquinas objetivo, como Love [.] Bat, update [.] Bat y lock [.] Bat.
- En solo cinco segundos, estos scripts podrían deshabilitar los productos de seguridad que pueden ejecutarse en modo seguro, deshabilitar Windows Defender y permitir que la herramienta AnyDesk del atacante se ejecute en modo seguro.
- Los scripts configuran una nueva cuenta con información de inicio de sesión automática y se conectan al controlador de dominio del objetivo para acceder de forma remota y ejecutar el ejecutable ransomware, actualizar [.] Exe.
Conclusión
AvosLocker es uno de los grupos de ataque de ransomware controlados por humanos, que suelen ser muy difíciles de manejar para los equipos de seguridad. Se recomienda a los analistas y administradores que se mantengan alerta ante actividades sospechosas dentro de su red y que tomen acciones proactivas para contrarrestar las amenazas potenciales.
Fuente: https://cyware.com/news/avoslocker-ransomware-surprises-with-new-tactics-5c329cce
