اكتشف Sophos ، باعتباره رائدًا عالميًا في مجال الأمن السيبراني ، فيروسات فدية جديدة تسمى AvosLocker. في هذا الهجوم ، يستخدم المتسللون الوضع الآمن لـ Windows وأداة الإدارة عن بُعد AnyDesk.
يعد Windows Safe Mode طريقة شائعة جدًا لتشغيل جهاز كمبيوتر دون استخدام كلمة مرور. في الوضع الآمن ، لا يمكننا الوصول إلى كل شيء ، ولكن اكتشف المتسللون أنه يمكنهم الوصول إلى AnyDesk. مع AnyDesk ، حصل المتسللون على وصول مستمر عن بعد لأجهزة الكمبيوتر.
كشف Sophos أن مهاجمي AvosLocker قاموا بتثبيت AnyDesk ، لذلك فهو يعمل في الوضع الآمن. لقد قاموا بتعطيل خدمات الأمان التي تعمل في الوضع الآمن ثم قاموا بتشغيل برنامج الفدية في الوضع الآمن.
AvosLocker Ransomware يعيد التشغيل في الوضع الآمن لتجاوز أدوات الأمان
يستخدم المتسللون AnyDesk في الوضع الآمن لشن الهجمات
في بيان ، قال مدير الاستجابة للحوادث في سوفوس ، بيتر ماكنزي ،
اكتشف Sophos أن مهاجمي AvosLocker قاموا بتثبيت AnyDesk ، لذلك فهو يعمل في الوضع الآمن ، وحاولوا تعطيل مكونات حلول الأمان التي تعمل في الوضع الآمن ، ثم قاموا بتشغيل برنامج الفدية في الوضع الآمن. يؤدي هذا إلى إنشاء سيناريو يتمتع فيه المهاجمون بالتحكم الكامل عن بُعد في كل جهاز قاموا بإعداده باستخدام AnyDesk ، بينما يُحتمل أن تكون المؤسسة المستهدفة محجوبة من الوصول عن بُعد إلى أجهزة الكمبيوتر هذه. لم تر Sophos مطلقًا بعض هذه المكونات المستخدمة مع برامج الفدية ، وبالتأكيد ليست معًا “.
تم تأسيس AvosLocker لأول مرة في يونيو 2021 ، وهي خدمة فدية جديدة. شهد فريق الاستجابة السريعة من Sophos هجمات AvosLocker في أمريكا والشرق الأوسط ومناطق آسيا والمحيط الهادئ التي تستهدف أنظمة Windows و Linux.
وجد الباحثون الذين قاموا بالتحقيق في برنامج الفدية أن المهاجمين يستخدمون PDQ Deploy على الأجهزة المستهدفة لتشغيل وتنفيذ البرنامج النصي الدفعي المسمى “love.bat” أو “update.bat” أو “lock.bat”. يوفر البرنامج النصي سلسلة من الأوامر المتتالية التي تجعل الأجهزة جاهزة لتحرير برامج الفدية وإعادة التشغيل في الوضع الآمن.
قال Peter Mackenzie ، “إن التقنيات التي تستخدمها AvosLocker بسيطة ولكنها ذكية جدًا. إنهم يضمنون أن برنامج الفدية لديه أفضل فرصة للتشغيل في الوضع الآمن ويسمح للمهاجمين بالاحتفاظ بالوصول عن بُعد إلى الأجهزة طوال فترة الهجوم “.
يستغرق تسلسل الأوامر حوالي خمس ثوانٍ للتنفيذ ، ويعطل خدمات تحديث Windows و Windows Defender. ثم يقوم بتعطيل مكونات حلول برامج الأمان التي تعمل في الوضع الآمن.
قم بتثبيت أداة AnyDesk القانونية وقم بتعيينها للتشغيل في الوضع الآمن أثناء الاتصال بالشبكة. يتأكد المهاجمون من الاستمرار في تشغيل الأمر والتحكم فيه ، ثم يقومون بإعداد حساب جديد بتفاصيل تسجيل الدخول التلقائي والاتصال بوحدات التحكم في المجال للهدف للوصول عن بُعد وتشغيل برنامج الفدية المسمى update.exe
