Hackers gebruiken AnyDesk in de veilige modus om aanvallen uit te voeren

AvosLocker is een nieuwe ransomware-as-a-service, die voor het eerst verscheen in juni 2021.

Sophos, een wereldleider op het gebied van cyberbeveiliging, heeft nieuwe ransomware ontdekt met de naam AvosLocker. Bij deze aanval gebruiken hackers de veilige modus van Windows en de AnyDesk-tool voor extern beheer.

Windows Veilige modus is een veelgebruikte methode om een ​​pc te bedienen zonder een wachtwoord te gebruiken. In de veilige modus hebben we niet overal toegang toe, maar hackers hebben ontdekt dat ze toegang hebben tot AnyDesk. Met AnyDesk kregen hackers continu op afstand toegang tot computers.

Sophos onthulde dat aanvallers van AvosLocker AnyDesk hebben geĆÆnstalleerd, dus het werkt in de veilige modus. Ze hebben de beveiligingsservices uitgeschakeld die in de veilige modus worden uitgevoerd en vervolgens de ransomware uitgevoerd in de veilige modus.

AvosLocker Ransomware start opnieuw op in de veilige modus om beveiligingshulpmiddelen te omzeilen

Hackers gebruiken AnyDesk in de veilige modus om aanvallen uit te voeren

In een verklaring zei de directeur van incidentrespons bij Sophos, Peter Mackenzie:

ā€œSophos ontdekte dat de aanvallers van AvosLocker AnyDesk installeerden, dus het werkt in de veilige modus, probeerden de componenten van beveiligingsoplossingen die in de veilige modus draaien uit te schakelen en vervolgens de ransomware in de veilige modus uit te voeren. Dit creĆ«ert een scenario waarin de aanvallers volledige controle op afstand hebben over elke machine die ze hebben ingesteld met AnyDesk, terwijl de doelorganisatie waarschijnlijk geen externe toegang tot die computers heeft. Sophos heeft sommige van deze componenten nog nooit met ransomware gezien, en zeker niet samen.ā€

AvosLocker werd voor het eerst opgericht in juni 2021, het is een nieuwe ransomware-service. Het Sophos Rapid Response-team heeft de AvosLocker-aanvallen in Amerika, het Midden-Oosten en Aziƫ-Pacific gezien, gericht op Windows- en Linux-systemen.

De onderzoekers die de ransomware onderzochten, ontdekten dat de aanvallers PDQ Deploy gebruiken op gerichte machines om het batchscript genaamd “love.bat”, “update.bat” of “lock.bat” uit te voeren en uit te voeren. Het script biedt een reeks opeenvolgende opdrachten die de machines gereed maken om de ransomware vrij te geven en opnieuw op te starten in de veilige modus.

Peter Mackenzie zei: ā€œDe technieken die door AvosLocker worden gebruikt, zijn eenvoudig maar erg slim. Ze zorgen ervoor dat de ransomware de meeste kans heeft om in de veilige modus te draaien en stellen de aanvallers in staat om tijdens de aanval op afstand toegang tot de machines te behouden.ā€

De opdrachtreeks duurt ongeveer vijf seconden om uit te voeren en schakelt de Windows-updateservices en Windows Defender uit. Vervolgens worden de componenten van beveiligingssoftwareoplossingen die in de veilige modus worden uitgevoerd, uitgeschakeld.

Installeer de legale AnyDesk-tool en stel deze in om in de veilige modus te werken terwijl deze met het netwerk is verbonden. De aanvallers zorgen ervoor dat ze de opdracht blijven uitvoeren en beheren, en dan stellen ze een nieuw account in met automatische inloggegevens en maken ze verbinding met de domeincontrollers van het doelwit om op afstand toegang te krijgen tot de ransomware genaamd update.exe.

Nieuwste artikelen

Gerelateerde artikelen