Relatório da Sophos aponta que ransomware AvosLocker utiliza AnyDesk em modo de segurança para lançar ataques

A Sophos, empresa líder global em cibersegurança de próxima geração, lançou uma nova pesquisa sobre o ransomware AvosLocker no artigo “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode”. O relatório explica como os cibercriminosos tentam contornar os controles de segurança por meio de uma combinação do modo de segurança do Windows e a ferramenta de administração remota AnyDesk. O modo de segurança do Windows é um método de suporte para resolver problemas de TI que desabilita a maioria das ferramentas de segurança e administração, enquanto o AnyDesk fornece acesso remoto contínuo.

O AvosLocker é um ransomware como serviço ("ransomware-as-a-service") relativamente novo, tendo aparecido pela primeira vez no final de junho de 2021, e tem uma crescente popularidade , de acordo com a Sophos. Até o momento, a equipe da Sophos Rapid Response observou ataques envolvendo o AvosLocker nas Américas, Oriente Médio e Ásia-Pacífico, com foco em sistemas Windows e Linux.

“A Sophos descobriu que os atacantes do AvosLocker instalaram o AnyDesk no modo de segurança, tentaram desabilitar os componentes das soluções que rodam neste formato e, em seguida, executaram o ransomware no modo seguro. Isso cria um cenário no qual os invasores têm controle remoto total sobre todas as máquinas que configuraram com AnyDesk, enquanto a organização-alvo provavelmente tem o acesso remoto bloqueado para esses computadores. A equipe não tinha visto esses componentes utilizados para ransomware e certamente nunca não juntos”, explica Peter Mackenzie, Diretor de Resposta a Incidentes da Sophos. “A mensagem para as equipes de segurança de TI que enfrentam esse tipo de ataque é que, mesmo que o ransomware falhe na execução, até que eles limpem todos os rastros da implantação do AnyDesk dos invasores em cada máquina afetada, elas permanecerão expostas, pois os invasores têm acesso à rede da organização e pode bloqueá-la novamente a qualquer momento”, completa o executivo.

O processo de implantação de ransomware

Os pesquisadores da Sophos responsáveis por investigar a implantação do ransomware descobriram que a sequência principal começa com invasores que utilizam o PDQ Deploy para executar um script em lote chamado “love.bat”, “update.bat” ou “lock.bat” nas máquinas-alvo. O script emite e implementa uma série de comandos que preparam os dispositivos para o lançamento do ransomware e, em seguida, se reinicia no modo de segurança.

A sequência de comando leva aproximadamente cinco segundos para ser executada e inclui o seguinte:

Desativação dos serviços de atualização do Windows e Windows Defender;
Tentativa de desativação dos componentes de soluções de software de segurança comercial que podem ser executados no modo de segurança;
Instalação da ferramenta legítima de administração remota AnyDesk e configuração para ser executada no modo de segurança enquanto estiver conectada à rede, o que garante comando e controle contínuos por parte do invasor;
Configuração de uma nova conta com detalhes de login automático e, em seguida, conexão ao controlador de domínio de destino para acesso remoto e execução do ransomware, chamada update.exe.

“As técnicas usadas pelo AvosLocker são simples, porém muito inteligentes. Elas garantem que o ransomware tenha uma melhor chance de rodar no modo de segurança e permitem que os invasores mantenham o acesso remoto às máquinas durante o ataque”, comenta Mackenzie. “A Sophos relatou que Snatch e BlackMatter implementaram a técnica, no entanto, nenhum dos grupos de ransomware tentou instalar um aplicativo subsequente, como AnyDesk, para comando e controle das máquinas no modo de segurança. Acreditamos que esta é a primeira vez que um ataque assim ocorre", conclui o executivo.

Os produtos de endpoint da Sophos, como o Intercept X, protegem os usuários ao detectar as ações e comportamentos de ransomware e outros ataques, como os descritos nesta pesquisa da Sophos.

Para mais informações, leia o artigo sobre o ransomware AvosLocker no SophosLabs Uncut.

Informações adicionais

Mais detalhes sobre a evolução do cenário de ameaças cibernéticas podem ser encontrados no Relatório de Ameaças Sophos 2022;
Táticas, técnicas e procedimentos (TTPs) e muito mais para diferentes tipos de ameaças estão disponíveis no SophosLabs Uncut, que fornece a inteligência de ameaças mais recente da Sophos;
Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança estão disponíveis em Sophos News SecOps;
Saiba mais sobre o serviço de Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, sete dias por semana;
As quatro principais dicas para responder a um incidente de segurança do Sophos Rapid Response e da Equipe de Managed Threat Response;
Leia as últimas notícias e opiniões sobre segurança no premiado site de notícias da Sophos, o Naked Security e no Sophos News.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.