Les pirates utilisent AnyDesk en mode sans échec pour lancer des attaques

0
13

AvosLocker est un nouveau ransomware-as-a-service, apparu pour la première fois en juin 2021.

Leader mondial de la cybersécurité, Sophos a découvert un nouveau ransomware nommé AvosLocker. Dans cette attaque, les pirates utilisent le mode sans échec de Windows et l’outil d’administration à distance AnyDesk.

Le mode sans échec de Windows est une méthode très courante pour faire fonctionner un PC sans utiliser de mot de passe. En mode sans échec, nous ne pouvons pas accéder à tout, mais les pirates ont découvert qu’ils pouvaient accéder à AnyDesk. Avec AnyDesk, les pirates ont un accès à distance continu aux ordinateurs.

Sophos a révélé que les attaquants d’AvosLocker ont installé AnyDesk, il fonctionne donc en mode sans échec. Ils ont désactivé les services de sécurité qui s’exécutent en mode sans échec, puis ont exécuté le ransomware en mode sans échec.

AvosLocker Ransomware redémarre en mode sans échec pour contourner les outils de sécurité

Les pirates utilisent AnyDesk en mode sans échec pour lancer des attaques

Dans un communiqué, le directeur de la réponse aux incidents chez Sophos, Peter Mackenzie, a déclaré :

« Sophos a découvert que les attaquants d’AvosLocker ont installé AnyDesk, donc il fonctionne en mode sans échec, a essayé de désactiver les composants des solutions de sécurité qui s’exécutent en mode sans échec, puis a exécuté le ransomware en mode sans échec. Cela crée un scénario dans lequel les attaquants ont un contrôle à distance total sur chaque machine qu’ils ont configurée avec AnyDesk, tandis que l’organisation cible est probablement bloquée pour l’accès à distance à ces ordinateurs. Sophos n’a jamais vu certains de ces composants utilisés avec des ransomwares, et certainement pas ensemble.

AvosLocker a été fondé en juin 2021, il s’agit d’un nouveau service de ransomware. L’équipe Sophos Rapid Response a vu les attaques AvosLocker dans les régions Amérique, Moyen-Orient et Asie-Pacifique ciblant les systèmes Windows et Linux.

Les chercheurs enquêtant sur le ransomware ont découvert que les attaquants utilisaient PDQ Deploy sur des machines ciblées pour exécuter et exécuter le script batch appelé « love.bat », « update.bat » ou « lock.bat ». Le script fournit une série de commandes consécutives qui préparent les machines à libérer le ransomware et à redémarrer en mode sans échec.

Peter Mackenzie a déclaré : « Les techniques utilisées par AvosLocker sont simples mais très intelligentes. Ils garantissent que le ransomware a les meilleures chances de s’exécuter en mode sans échec et permettent aux attaquants de conserver un accès à distance aux machines tout au long de l’attaque.

L’exécution de la séquence de commandes prend environ cinq secondes et désactive les services de mise à jour Windows et Windows Defender. Ensuite, il désactive les composants des solutions logicielles de sécurité qui s’exécutent en mode sans échec.

Installez l’outil légal AnyDesk et configurez-le pour qu’il s’exécute en mode sans échec lorsque vous êtes connecté au réseau. Les attaquants s’assurent de continuer à exécuter la commande et de la contrôler, puis ils créent un nouveau compte avec les détails de connexion automatique et se connectent aux contrôleurs de domaine de la cible pour accéder à distance et exécuter le ransomware appelé update.exe.

LEAVE A REPLY

Please enter your comment!
Please enter your name here