يحتوي برنامج الفدية الجديد هذا على حيل بسيطة ولكنها ذكية جدًا للتهرب من دفاعات الكمبيوتر
تعمل سلالة برامج الفدية "الواعدة" على تكثيف الهجمات.
تقوم AvosLocker ، الوافد الجديد إلى ساحة خدمة برامج الفدية ، بتكثيف الهجمات أثناء استخدام بعض التقنيات الجديدة لمحاولة التهرب من برامج الأمان.
تحذر شركة الحماية Sophos من أن AvosLocker ، وهي عصابة برمجيات الفدية التي يديرها الإنسان ظهرت هذا الصيف ، تبحث عن شركاء - مثل "وسطاء الوصول" الذين يبيعون الوصول إلى الأجهزة التي تم اختراقها بالفعل - على أمل سد الفجوة التي خلفتها شركة REvil. الانسحاب .
تتمثل إحدى الميزات الرئيسية لبرنامج AvosLocker في استخدام أداة إدارة تكنولوجيا المعلومات عن بُعد من AnyDesk وتشغيلها في الوضع الآمن في Windows. تم استخدام الخيار الأخير بواسطة REvil و Snatch و BlackMatter كوسيلة لتعطيل أدوات إدارة تكنولوجيا المعلومات والأمان المقصود للهدف. كما يشير Sophos ، لا تعمل العديد من منتجات أمان نقطة النهاية في الوضع الآمن - وهو تكوين تشخيص خاص يقوم فيه Windows بتعطيل معظم برامج التشغيل والبرامج التابعة لجهات خارجية ، ويمكن أن يجعل الأجهزة المحمية بطريقة أخرى غير آمنة.
أصبحت AnyDesk ، وهي أداة شرعية للمسؤول عن بُعد ، بديلاً شائعًا بين المجرمين لبرنامج TeamViewer ، الذي قدم نفس الوظيفة. يسمح تشغيل AnyDesk في الوضع الآمن أثناء الاتصال بالشبكة للمهاجم بالحفاظ على السيطرة على الأجهزة المصابة.
بينما تقوم AvosLocker بإعادة تجميع تقنيات من عصابات أخرى ، وصف Peter Mackenzie ، مدير الاستجابة للحوادث في Sophos ، استخدامها بأنه "بسيط ولكنه ذكي للغاية".
يقول ماكنزي إنه بينما نسخت Avos تقنية الوضع الآمن ، فإن تثبيت AnyDesk للقيادة والتحكم في الأجهزة أثناء الوضع الآمن هو الأول.
يقوم مهاجمو AvosLocker بإعادة تشغيل الأجهزة في الوضع الآمن للمراحل الأخيرة من الهجوم ، ولكنهم يقومون أيضًا بتعديل تكوين تمهيد الوضع الآمن للسماح بتثبيت وتشغيل AnyDesk.
يلاحظ Sophos في منشور مدونة أن المالكين الشرعيين قد لا يتمكنون من إدارة جهاز كمبيوتر عن بُعد إذا تم تكوينه لتشغيل AnyDesk في الوضع الآمن. قد يحتاج المسؤول إلى الوصول الفعلي إلى الكمبيوتر المصاب لإدارته ، مما قد يؤدي إلى حدوث مشكلات لشبكة كبيرة من أجهزة الكمبيوتر والخوادم التي تعمل بنظام Windows.
اكتشف Sophos العديد من التقنيات الأكثر فضولًا التي تستخدمها AvosLocker. أحد مكونات Linux ، على سبيل المثال ، يستهدف خوادم VMware ESXi hypervisor عن طريق قتل أي أجهزة افتراضية (VMs) ، ثم تشفير ملفات VM. تحقق Sophos في كيفية حصول المهاجمين على بيانات اعتماد المسؤول اللازمة لتمكين ESX Shell أو الوصول إلى الخادم.
استخدم المهاجمون أيضًا أداة إدارة تكنولوجيا المعلومات PDQ Deploy لدفع العديد من البرامج النصية لمجموعة Windows إلى الأجهزة المستهدفة المقصودة ، بما في ذلك Love.bat و update.bat و lock.bat. كما يوضح Sophos ، في حوالي خمس ثوانٍ ، تعمل هذه البرامج النصية على تعطيل منتجات الأمان التي يمكن تشغيلها في الوضع الآمن وتعطيل Windows Defender والسماح لأداة AnyDesk الخاصة بالمهاجم بالعمل في الوضع الآمن. قاموا أيضًا بإعداد حساب جديد مع تفاصيل تسجيل الدخول التلقائي ثم يتصلون بوحدة التحكم في المجال للهدف للوصول عن بُعد وتشغيل برنامج الفدية القابل للتنفيذ ، update.exe.
يحذر Sophos: "تعد برامج الفدية ، خاصةً عندما يتم تسليمها يدويًا (كما كان الحال في حالات Avos Locker هذه) ، مشكلة صعبة الحل لأن المرء لا يحتاج فقط إلى التعامل مع برنامج الفدية نفسه ، ولكن مع أي آليات أقام ممثلو التهديد كباب خلفي للشبكة المستهدفة. لا ينبغي معاملة أي تنبيه على أنه "أولوية منخفضة" في هذه الظروف ، بغض النظر عن مدى قد يبدو حميدًا ".
