Τις τελευταίες εβδομάδες, ένα σχετικά νέο ransomware με το όνομα Avos Locker εντείνει τις επιθέσεις του ενώ προσπαθεί να απενεργοποιήσει τα endpoint security προϊόντα στα συστήματα που στοχεύει. Η Sophos Rapid Response ανακάλυψε πρόσφατα ότι οι επιτιθέμενοι πίσω από το Avos Locker ransomware έκαναν επανεκκίνηση των υπολογιστών-στόχων σε Safe Mode για να εκτελέσουν το ransomware (μια τεχνική που έχουν χρησιμοποιήσει και άλλες γνωστές συμμορίες, όπως οι Snatch, REvil και BlackMatter).
Δείτε επίσης: Το ransomware Diavol εξαπλώνεται μέσω email και κλέβει χρήματα
Γιατί όμως οι εγκληματίες το κάνουν αυτό (Safe Mοde); Ένας από τους πιο σημαντικούς λόγους είναι ότι πολλά, αν όχι τα περισσότερα, προϊόντα ασφάλειας δεν εκτελούνται σε Safe Mode. Έτσι, οι hackers θα μπορέσουν να κρυπτογραφήσουν εύκολα τα δεδομένα των θυμάτων, αφού θα έχουν απενεργοποιήσεις τις λύσεις ασφαλείας που χρησιμοποιούνται.
Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι πίσω από το Avos Locker ransomware τροποποιούν, επίσης, το Safe Mode boot configuration, ώστε να μπορούν να εγκαταστήσουν και να χρησιμοποιήσουν το IT management tool AnyDesk, ενώ οι υπολογιστές Windows εξακολουθούν να λειτουργούν σε Safe Mode. Κανονικά, το λογισμικό τρίτων είναι απενεργοποιημένο σε έναν υπολογιστή που έχει ανοίξει σε Safe Mode, αλλά οι επιτιθέμενοι θέλουν να συνεχίσουν να έχουν απομακρυσμένη πρόσβαση και να ελέγχουν ανεμπόδιστα τα στοχευμένα μηχανήματα.
Avos Locker ransomware: Κρυπτογράφηση σε “Safe Mode“
Οι χειριστές του Avos Locker ransomware αξιοποιούν και το PDQ Deploy, ένα νόμιμο deployment tool, για να εγκαταστήσουν πολλά Windows batch scripts στο μηχάνημα-στόχο. Σύμφωνα με τους ερευνητές, αυτό τους βοηθά να δημιουργήσουν το κατάλληλο έδαφος για την επίθεση.
Αυτά τα scripts τροποποιούν ή διαγράφουν Registry keys που ανήκουν σε συγκεκριμένα endpoint security tools, συμπεριλαμβανομένων των Windows Defender και προϊόντων από τις Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender και Cylance.
Τα scripts δημιουργούν, επίσης, ένα νέο user account στο παραβιασμένο μηχάνημα, το οποίο ονομάζουν “newadmin” και το προσθέτουν στο Administrators user group.
Δείτε επίσης: Έκθεση: Αύξηση επιθέσεων από τη ransomware ομάδα PYSA, τεχνική διπλού εκβιασμού και νέες τακτικές
Στη συνέχεια, διαμορφώνουν αυτόν τον λογαριασμό ώστε να συνδέεται αυτόματα όταν γίνεται επανεκκίνηση του συστήματος σε Safe Mode.
Τέλος, τα scripts εκτελούν μια εντολή επανεκκίνησης που θέτει το μηχάνημα σε Safe Mode. Μόλις ενεργοποιηθεί ξανά, το ransomware payload εκτελείται από ένα Domain Controller location.
Εάν η διαδικασία αυτοματοποιημένης εκτέλεσης payload αποτύχει, ο εγκληματίας μπορεί να αναλάβει τον έλεγχο της διαδικασίας (μη αυτόματα) χρησιμοποιώντας το AnyDesk.
“Το προτελευταίο βήμα στη διαδικασία μόλυνσης είναι η δημιουργία ενός κλειδιού “RunOnce” στο Registry που εκτελεί το ransomware payload, filelessly“, εξηγούν οι ερευνητές.
Δείτε επίσης: Τα Windows 10 21H2 αποκτούν και προστασία από ransomware
Κατάχρηση του Safe Mode για την παράκαμψη των προϊόντων ασφαλείας
Η κατάχρηση του Safe Mode από το Avos Locker, για την παράκαμψη λύσεων ασφαλείας, έχει χρησιμοποιηθεί και από άλλες γνωστές ransomware ομάδες, όπως είπαμε και παραπάνω. Επομένως αυτό είναι ένα κενό ασφαλείας που πρέπει να αντιμετωπιστεί.
Χάρη σε αυτό το απλό αλλά αποτελεσματικό τέχνασμα, ακόμη και επαρκώς προστατευμένα μηχανήματα μπορούν να καταστούν ευάλωτα σε ransomware επιθέσεις.
Πηγή: Bleeping Computer