25.12.2021 | Вымогатель AvosLocker может запускаться в безопасном режиме Windows |
Вымогательская группировка AvosLocker в ходе своих недавних атак сосредоточилась на отключении решений безопасности оконечных точек, перезагружая скомпрометированные системы под управлением Windows в безопасном режиме. Подобная тактика упрощает шифрование файлов жертв, поскольку большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме. Согласно отчету исследователей из SophosLabs, операторы вымогателя AvosLocker используют легитимный инструмент развертывания для автоматизации управления исправлениями PDQ Deploy. С помощью инструмента хакеры размещают несколько пакетных скриптов Windows на устройстве, подготавливая плацдарм для атаки. Скрипты изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности оконечных точек, включая Защитник Windows и продукты от «Лаборатории Касперского», Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance. Скрипты также создают новую учетную запись пользователя под названием newadmin на скомпрометированной системе, добавляя ее в группу пользователей «Администраторы». Затем преступники настраивают учетную запись для автоматического входа в систему при перезагрузке в безопасном режиме с подключением к Сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу. Скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена. Если автоматический процесс выполнения полезной нагрузки завершается неудачно, оператор может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk. «Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который без файлов выполняет полезную нагрузку программы-вымогателя», — пояснили эксперты. |
Проверить безопасность сайта