Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 23 december 2021 | Ämne: Säkerhet 
Inuti ett gäng med ransomware: Akta dig för dessa aggressiva taktiker Titta nu
AvosLocker, en nykomling på ransomware-tjänstscenen, ökar attackerna samtidigt som de använder några nya tekniker för att försöka undvika säkerhetsprogramvara.
Säkerhetsföretaget Sophos varnar för att AvosLocker, ett människostyrt ransomware-gäng som dök upp i somras, är på jakt efter partners – som “åtkomstmäklare” som säljer tillgång till redan hackade maskiner – i hopp om att fylla luckan efter REvils tillbakadragande.
En av nyckelfunktionerna i AvosLocker är att använda AnyDesks fjärr-IT-administrationsverktyg och köra det Windows Säkert läge. Det senare alternativet användes av REvil, Snatch och BlackMatter som ett sätt att inaktivera ett måls avsedda säkerhets- och IT-administrationsverktyg. Som Sophos påpekar körs inte många slutpunktssäkerhetsprodukter i felsäkert läge – en speciell diagnostisk konfiguration där Windows inaktiverar de flesta drivrutiner och programvara från tredje part och kan göra annars skyddade maskiner osäkra.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
AnyDesk, ett legitimt fjärradministratörsverktyg, har blivit ett populärt alternativ bland kriminella till TeamViewer, som erbjöd samma funktionalitet. Genom att köra AnyDesk i felsäkert läge medan den är ansluten till nätverket kan angriparen behålla kontrollen över infekterade maskiner.
Medan AvosLocker bara packar om tekniker från andra gäng, beskrev Peter Mackenzie, chef för incidentrespons på Sophos, deras användning som “enkel, men väldigt smart”.
Mackenzie säger att medan Avos kopierade tekniken för felsäkert läge, är det första gången att installera AnyDesk för kommando och kontroll av maskiner i felsäkert läge.
AvosLocker-angriparna startar om maskinerna till felsäkert läge för attackens slutskede, men ändrar också startkonfigurationen för felsäkert läge så att AnyDesk kan installeras och köras.
Sophos noterar i ett blogginlägg att legitima ägare kanske inte kan fjärrstyra en dator om den är konfigurerad att köra AnyDesk i felsäkert läge. En administratör kan behöva fysisk åtkomst till den infekterade datorn för att hantera den, vilket kan orsaka problem för ett stort nätverk av Windows-datorer och -servrar.
Sophos har upptäckt flera mer konstiga tekniker som används av AvosLocker. En Linux-komponent, till exempel, riktar sig till VMware ESXi hypervisorservrar genom att döda alla virtuella maskiner (VM) och sedan kryptera VM-filerna. Sophos undersöker hur angriparna fick de administratörsuppgifter som behövs för att aktivera ESX-skalet eller komma åt servern.
SE: Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer
Angriparna använde också IT-hanteringsverktyget PDQ Deploy för att skicka flera Windows-batchskript till avsedda målmaskiner, inklusive Love.bat, update.bat och lock.bat. Som Sophos förklarar inaktiverar dessa skript på cirka fem sekunder säkerhetsprodukter som kan köras i felsäkert läge, inaktiverar Windows Defender och låter angriparens AnyDesk-verktyg köras i felsäkert läge. De konfigurerar också ett nytt konto med automatiska inloggningsdetaljer och ansluter sedan till målets domänkontrollant för att fjärråtkomst och köra ransomware-filen update.exe.
Sophos varnar: “Ransomware, särskilt när den har levererats för hand (som har varit fallet i dessa Avos Locker-instanser), är ett knepigt problem att lösa eftersom man inte bara behöver ta itu med ransomware själv, men med alla mekanismer som hotaktörerna har satt upp som en bakdörr till det riktade nätverket. Ingen varning ska behandlas som “låg prioritet” under dessa omständigheter, oavsett hur godartad den kan verka.”
Säkerhet
Log4j-hot:10 frågor du behöver ställa Apache släpper ny 2.17.0 patch för Log4j, löser DoS-sårbarhet Polisen hittar 225 miljoner stulna lösenord på en hackad server . Är din en av dem? Hur detta företag inte betalade när det drabbades av ransomware De bästa VPN:erna för små och hembaserade företag 2021 Security TV | Datahantering | CXO | Datacenter