Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han tog en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden nordisk eller ondsindet kode for den sags skyld) sig ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 23. december 2021 | Emne: Sikkerhed 
AvosLocker, en nykommer på ransomware-servicescenen, øger angreb, mens han bruger nogle nye teknikker til at forsøge at undgå sikkerhedssoftware.
Sikkerhedsfirmaet Sophos advarer om, at AvosLocker, en menneske-drevet ransomware-bande, der dukkede op i sommer, er på jagt efter partnere – såsom 'adgangsmæglere', der sælger adgang til allerede hackede maskiner – i håbet om at udfylde hullet efter REvils tilbagetrækning.
En af nøglefunktionerne i AvosLocker er at bruge AnyDesk-fjern-it-administrationsværktøjet og køre det Windows Fejlsikret tilstand. Sidstnævnte mulighed blev brugt af REvil, Snatch og BlackMatter som en måde at deaktivere et måls tilsigtede sikkerheds- og IT-administrationsværktøjer. Som Sophos påpeger, kører mange slutpunktsikkerhedsprodukter ikke i fejlsikret tilstand – en speciel diagnostisk konfiguration, hvor Windows deaktiverer de fleste tredjepartsdrivere og software og kan gøre ellers beskyttede maskiner usikre.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
AnyDesk, et legitimt fjernadministrationsværktøj, er blevet et populært alternativ blandt kriminelle til TeamViewer, som tilbød det samme funktionalitet. At køre AnyDesk i fejlsikret tilstand, mens den er tilsluttet netværket, giver angriberen mulighed for at bevare kontrollen over inficerede maskiner.
Mens AvosLocker blot ompakker teknikker fra andre bander, beskrev Peter Mackenzie, direktør for hændelsesberedskab hos Sophos, deres brug som “simpel, men meget klog”.
Mackenzie siger, at mens Avos kopierede Safe Mode-teknikken, er installationen af AnyDesk til kommando og kontrol af maskiner i fejlsikret tilstand den første.
AvosLocker-angriberne genstarter maskinerne i fejlsikret tilstand til de sidste faser af angrebet, men ændrer også opstartskonfigurationen i fejlsikret tilstand for at tillade, at AnyDesk kan installeres og køres.
Sophos bemærker i et blogindlæg, at legitime ejere muligvis ikke er i stand til at fjernadministrere en computer, hvis den er konfigureret til at køre AnyDesk i fejlsikret tilstand. En administrator kan have brug for fysisk adgang til den inficerede computer for at administrere den, hvilket kan give problemer for et stort netværk af Windows-pc'er og -servere.
Sophos har opdaget adskillige mere nysgerrige teknikker brugt af AvosLocker. En Linux-komponent er f.eks. målrettet mod VMware ESXi hypervisor-servere ved at dræbe eventuelle virtuelle maskiner (VM'er) og derefter kryptere VM-filerne. Sophos undersøger, hvordan angriberne har opnået de admin-legitimationsoplysninger, der er nødvendige for at aktivere ESX Shell eller få adgang til serveren.
SE: Hackere henvender sig til denne enkle teknik til at installere deres malware på pc'er
Angriberne brugte også it-administrationsværktøjet PDQ Deploy til at skubbe adskillige Windows-batchscripts til tiltænkte målmaskiner, inklusive Love.bat, update.bat og lock.bat. Som Sophos forklarer, deaktiverer disse scripts på cirka fem sekunder sikkerhedsprodukter, der kan køre i fejlsikret tilstand, deaktiverer Windows Defender og tillader angriberens AnyDesk-værktøj at køre i fejlsikret tilstand. De opretter også en ny konto med automatiske logindetaljer og forbinder derefter til målets domænecontroller for at få fjernadgang til og køre ransomware eksekverbare, update.exe.
Sophos advarer: “Ransomware, især når det er blevet leveret i hånden (som det har været tilfældet i disse Avos Locker-tilfælde), er et vanskeligt problem at løse, fordi man ikke kun skal håndtere ransomwaren sig selv, men med de mekanismer, trusselsaktørerne har sat op som en bagdør ind til det målrettede netværk. Ingen alarm bør behandles som “lav prioritet” under disse omstændigheder, uanset hvor godartet det måtte virke.”
Sikkerhed
Log4j-trussel:10 spørgsmål, du skal stille Apache frigiver ny 2.17.0-patch til Log4j, løser DoS-sårbarhed Politiet finder 225 millioner stjålne adgangskoder på en hacket server . Er din en af dem? Hvordan dette firma ikke betalte, da det blev ramt af ransomware De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Security TV | Datastyring | CXO | Datacentre