Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 23. desember 2021 | Emne: Sikkerhet 
AvosLocker, en nykommer på løsepengevaretjenestemiljøet, øker angrep mens han bruker noen nye teknikker for å prøve å unngå sikkerhetsprogramvare.
Sikkerhetsfirmaet Sophos advarer om at AvosLocker, en menneskedrevet løsepengevaregjeng som dukket opp i sommer, er på jakt etter partnere – som «tilgangsmeglere» som selger tilgang til allerede hackede maskiner – i håp om å fylle gapet etter REvils tilbaketrekning.
En av hovedfunksjonene til AvosLocker er å bruke AnyDesks eksterne IT-administrasjonsverktøy og kjøre det Windows sikkermodus. Det siste alternativet ble brukt av REvil, Snatch og BlackMatter som en måte å deaktivere et måls tiltenkte sikkerhets- og IT-administrasjonsverktøy. Som Sophos påpeker, kjører ikke mange endepunktsikkerhetsprodukter i sikkermodus – en spesiell diagnosekonfigurasjon der Windows deaktiverer de fleste tredjepartsdrivere og programvare, og kan gjøre ellers beskyttede maskiner utrygge.
SE: En vinnende strategi for cybersikkerhet (ZDNet-spesialrapport)
AnyDesk, et legitimt eksternt administrasjonsverktøy, har blitt et populært alternativ blant kriminelle til TeamViewer, som tilbød det samme funksjonalitet. Å kjøre AnyDesk i sikkermodus mens han er koblet til nettverket, lar angriperen opprettholde kontroll over infiserte maskiner.
Mens AvosLocker bare ompakker teknikker fra andre gjenger, beskrev Peter Mackenzie, direktør for hendelsesrespons hos Sophos, bruken av dem som “enkel, men veldig smart”.
Mackenzie sier at mens Avos kopierte sikkermodusteknikken, er det første gang å installere AnyDesk for kommando og kontroll av maskiner i sikkermodus.
AvosLocker-angriperne starter maskinene på nytt i sikkermodus for de siste stadiene av angrepet, men endrer også oppstartskonfigurasjonen for sikker modus slik at AnyDesk kan installeres og kjøres.
Sophos bemerker i et blogginnlegg at legitime eiere kanskje ikke kan fjernadministrere en datamaskin hvis den er konfigurert til å kjøre AnyDesk i sikkermodus. En administrator kan trenge fysisk tilgang til den infiserte datamaskinen for å administrere den, noe som kan skape problemer for et stort nettverk av Windows-PCer og servere.
Sophos har oppdaget flere mer nysgjerrige teknikker brukt av AvosLocker. En Linux-komponent, for eksempel, retter seg mot VMware ESXi hypervisor-servere ved å drepe eventuelle virtuelle maskiner (VM), og deretter kryptere VM-filene. Sophos undersøker hvordan angriperne skaffet administratorlegitimasjonen som trengs for å aktivere ESX Shell eller få tilgang til serveren.
SE: Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er
Angriperne brukte også IT-administrasjonsverktøyet PDQ Deploy for å sende flere Windows batch-skript til tiltenkte målmaskiner, inkludert Love.bat, update.bat og lock.bat. Som Sophos forklarer, på omtrent fem sekunder, deaktiverer disse skriptene sikkerhetsprodukter som kan kjøres i sikkermodus, deaktiverer Windows Defender og lar angriperens AnyDesk-verktøy kjøre i sikkermodus. De oppretter også en ny konto med automatiske påloggingsdetaljer og kobler seg deretter til målets domenekontroller for å eksternt få tilgang til og kjøre løsepengeprogramvare, update.exe.
Sophos advarer: “Ransomware, spesielt når den har blitt levert for hånd (som har vært tilfellet i disse Avos Locker-tilfellene), er et vanskelig problem å løse fordi man ikke bare trenger å håndtere løsepengevaren. selv, men med alle mekanismer trusselaktørene har satt opp som en bakdør inn i det målrettede nettverket. Ingen varsling skal behandles som “lav prioritet” under disse omstendighetene, uansett hvor godartet det kan virke.”
Sikkerhet
Log4j-trussel:10 spørsmål du må stille Apache lanserer ny 2.17.0-oppdatering for Log4j, løser DoS-sårbarhet Politiet finner 225 millioner stjålne passord på en hacket server . Er din en av dem? Hvordan dette selskapet ikke betalte når det ble rammet av løsepengevare De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre