AvosLocker ransomware sorprende con nuevas tácticas
¿Qué hay de nuevo?
- En sus campañas recientes, los actores del ransomware ahora están iniciando los sistemas Windows en modo seguro, porque muchos productos de seguridad para terminales no funcionan en este modo.
- Además, ejecutar el software AnyDesk en modo seguro mientras está conectado a la red permite al atacante mantener el control sobre las máquinas infectadas.
- Después de la infección, los operadores de AvosLocker reinician el sistema de destino en modo seguro para las etapas finales, mientras modifican la configuración de arranque del modo seguro para permitir la instalación de AnyDesk.
- En tales casos, es posible que un usuario auténtico no pueda administrar una computadora de forma remota y requiera acceso físico para operar el sistema.
Dirigido a VMware ESXi
- La última variante de AvosLocker tiene un componente de Linux que se dirige a los servidores del hipervisor VMware ESXi al terminar cualquier máquina virtual y luego encripta los archivos de la VM.
- Los investigadores están investigando cómo los atacantes obtienen las credenciales de administrador necesarias para habilitar ESX Shell o acceder al servidor.
Detalles técnicos adicionales
- Los atacantes utilizaron la herramienta PDQ Deploy para difundir secuencias de comandos por lotes para las máquinas objetivo, como Love [.] Bat, update [.] Bat y lock [.] Bat.
- En solo cinco segundos, estos scripts podrían deshabilitar los productos de seguridad que pueden ejecutarse en modo seguro, deshabilitar Windows Defender y permitir que la herramienta AnyDesk del atacante se ejecute en modo seguro.
- Los scripts configuran una nueva cuenta con información de inicio de sesión automática y se conectan al controlador de dominio del objetivo para acceder de forma remota y ejecutar el ejecutable ransomware, actualizar [.] Exe.