Σε πρόσφατες επιθέσεις, η συμμορία ransomware AvosLocker έχει αρχίσει να εστιάζει στην απενεργοποίηση των λύσεων ασφάλειας τελικού σημείου που τους εμποδίζει, επανεκκινώντας τα παραβιασμένα συστήματα σε ασφαλή λειτουργία των Windows.

Αυτή η τακτική διευκολύνει την κρυπτογράφηση των αρχείων των θυμάτων, καθώς οι περισσότερες λύσεις ασφαλείας θα απενεργοποιηθούν αυτόματα μετά την εκκίνηση των συσκευών Windows σε ασφαλή λειτουργία.

Και η νέα τους προσέγγιση φαίνεται να είναι αρκετά αποτελεσματική αφού ο αριθμός των επιθέσεων που αποδίδονται στη συγκεκριμένη ομάδα αυξάνεται.

Η κρυπτογράφηση σε «ασφαλή λειτουργία»

Οι χειριστές AvosLocker αξιοποιούν το PDQ Deploy, ένα νόμιμο εργαλείο ανάπτυξης για την αυτοματοποίηση της διαχείρισης ενημερώσεων κώδικα, για να ρίξουν πολλά σενάρια παρτίδας των Windows στο μηχάνημα προορισμού, κάτι που τους βοηθά να θέσουν το έδαφος για την επίθεση, σύμφωνα με μια αναφορά από το SophosLabs Principal. Ερευνητής Andrew Brandt.

Αυτά τα σενάρια τροποποιούν ή διαγράφουν κλειδιά μητρώου που ανήκουν σε συγκεκριμένα εργαλεία ασφαλείας τερματικού σημείου, συμπεριλαμβανομένων των Windows Defender και προϊόντων από τα Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender και Cylance.

Ένα από τα αρχεία δέσμης σεναρίων που χρησιμοποιούνται από το AvosLocker (Sophos)

Τα σενάρια δημιουργούν επίσης έναν νέο λογαριασμό χρήστη στο παραβιασμένο μηχάνημα, ονομάζοντάς το “newadmin” και προσθέτοντάς το στην ομάδα χρηστών Administrators.

Στη συνέχεια, διαμορφώνουν αυτόν τον λογαριασμό ώστε να συνδέεται αυτόματα όταν το σύστημα επανεκκινείται σε ασφαλή λειτουργία με δικτύωση και απενεργοποιούν τα κλειδιά μητρώου διαλόγου “νομικής ειδοποίησης” που θα μπορούσαν να παρεμποδίσουν την αυτόματη σύνδεση.

Τέλος, τα σενάρια εκτελούν μια εντολή επανεκκίνησης που θέτει το μηχάνημα σε ασφαλή λειτουργία. Μόλις ενεργοποιηθεί ξανά, το ωφέλιμο φορτίο ransomware εκτελείται από μια θέση Ελεγκτή τομέα.

Εάν η διαδικασία αυτοματοποιημένης εκτέλεσης ωφέλιμου φορτίου αποτύχει, ο hacker μπορεί να αναλάβει τον μη αυτόματο έλεγχο της διαδικασίας χρησιμοποιώντας το εργαλείο απομακρυσμένης πρόσβασης AnyDesk.

“Το προτελευταίο βήμα στη διαδικασία μόλυνσης είναι η δημιουργία ενός κλειδιού “RunOnce” στο Μητρώο που εκτελεί το ωφέλιμο φορτίο ransomware, χωρίς αρχεία, από όπου οι εισβολείς το έχουν τοποθετήσει στον ελεγκτή τομέα”, εξηγεί ο Brandt.

“Αυτή είναι παρόμοια συμπεριφορά με αυτό που έχουμε δει να κάνουν το IcedID και άλλα ransomware ως μέθοδος εκτέλεσης ωφέλιμων φορτίων κακόβουλου λογισμικού χωρίς να αφήνουν τα αρχεία να αγγίξουν ποτέ το σύστημα αρχείων του μολυσμένου υπολογιστή.”