Siber güvenlikte küresel bir lider olan Sophos, AvosLocker adında yeni bir fidye yazılımı keşfetti . Bu saldırıda bilgisayar korsanları Windows Güvenli Mod ve AnyDesk uzaktan yönetim aracını kullanıyor.

Windows Güvenli Mod, bir bilgisayarı parola kullanmadan çalıştırmak için çok yaygın bir yöntemdir. Güvenli Modda her şeye erişemeyiz, ancak bilgisayar korsanları AnyDesk’e erişebileceklerini öğrendi. AnyDesk ile bilgisayar korsanları bilgisayarlara sürekli uzaktan erişim elde etti.

Sophos, AvosLocker saldırganlarının AnyDesk’i yüklediğini ve bu nedenle Güvenli Mod’da çalıştığını açıkladı . Güvenli Modda çalışan güvenlik hizmetlerini devre dışı bıraktılar ve ardından fidye yazılımını Güvenli Modda çalıştırdılar.

AvosLocker Ransomware, Güvenlik Araçlarını Atlamak için Güvenli Modda Yeniden Başlatılıyor

Sophos’taki olay müdahale müdürü Peter Mackenzie yaptığı açıklamada, “Sophos, AvosLocker saldırganlarının AnyDesk’i yüklediğini, bu nedenle Güvenli Modda çalıştığını keşfetti, Güvenli Modda çalışan güvenlik çözümlerinin bileşenlerini devre dışı bırakmaya çalıştı ve ardından fidye yazılımını Güvenli Modda çalıştırdı.

Bu, saldırganların AnyDesk ile kurdukları her makine üzerinde tam uzaktan denetime sahip olduğu ve hedef kuruluşun bu bilgisayarlara uzaktan erişiminin büyük olasılıkla kilitlendiği bir senaryo oluşturur. Sophos, bu bileşenlerden bazılarının fidye yazılımlarla kullanıldığını ve kesinlikle bir arada kullanıldığını hiç görmedi.”

AvosLocker ilk olarak Haziran 2022’de kuruldu, yeni bir fidye yazılımı hizmetidir. Sophos Rapid Response ekibi Amerika, Orta Doğu ve Asya-Pasifik bölgelerinde Windows ve Linux sistemlerini hedef alan AvosLocker saldırılarını gördü. Fidye yazılımını araştıran araştırmacılar, saldırganların “love.bat”, “update.bat” veya “lock.bat” adlı toplu komut dosyasını çalıştırmak ve yürütmek için hedeflenen makinelerde PDQ Deploy kullandığını buldu.

Komut dosyası, makineleri fidye yazılımını serbest bırakmaya ve Güvenli Modda yeniden başlatmaya hazır hale getiren bir dizi ardışık komut sağlar.

Peter Mackenzie, “AvosLocker tarafından kullanılan teknikler basit ama çok zekice. Fidye yazılımının Güvenli Modda çalışmak için en iyi şansa sahip olmasını sağlar ve saldırganların saldırı boyunca makinelere uzaktan erişimini sürdürmesine izin verir.

Komut dizisinin yürütülmesi yaklaşık beş saniye sürer ve Windows güncelleme hizmetlerini ve Windows Defender’ı devre dışı bırakır. Ardından Güvenli Modda çalışan güvenlik yazılımı çözümlerinin bileşenlerini devre dışı bırakır.

Yasal AnyDesk aracını yükleyin ve ağa bağlıyken Güvenli Modda çalışacak şekilde ayarlayın.

Saldırganlar komutu çalıştırmaya ve kontrol etmeye devam ettiğinden emin olur ve ardından otomatik oturum açma ayrıntılarıyla yeni bir hesap oluşturur ve update.exe adlı fidye yazılımına uzaktan erişmek ve çalıştırmak için hedefin etki alanı denetleyicilerine bağlanır.