Les internautes dans un monde de plus en plus numérique sont confrontés à de nombreux dangers. Pour cette raison, en plus d'être protégés, nous devons être bien informés. À cet égard, les utilisateurs doivent faire face à des virus, chevaux de Troie, vers informatiques et autres types de logiciels malveillants. Ceux qui ont sans aucun doute acquis un rôle majeur en 2021 sont les attaques de Phishing et de ransomware. Dans cet article, nous allons parler d'un nouveau ransomware qui, avec certaines astuces, contourne toutes les défenses de votre ordinateur, voulez-vous savoir comment il procède ?
Ce ransomware échappe à toutes les défenses
Une attaque de ransomware a ses phases se terminant par un mouvement latéral et enfin un impact. Après l'attaque, nous verrons comment nos fichiers ont été cryptés, nous en perdons l'accès et ils nous demanderont de payer une rançon. Le protagoniste d'aujourd'hui est AvosLocker, un nouveau ransomware qui, avec certaines astuces simples, est capable d'échapper au logiciel de sécurité que vous avez installé sur votre ordinateur.
Sécurité La firme Sophos a découvert que derrière ce ransomware se cache un gang qui a vu le jour cet été et qui cherche des partenaires. Par exemple, ils vendent déjà l'accès à des machines déjà piratées, ce qui peut donc constituer un bon récif pour les cybercriminels.
Accès à distance avec Anydesk
L'une des principales caractéristiques de AvosLocker ce qu 'il est utilise l'outil d'administration informatique à distance AnyDesk et le lance dans Windows mode sans échec. Cette option a été utilisée par les groupes de cybercriminels REvil, Snatch et BlackMatter comme moyen de désactiver les outils de sécurité et de gestion informatique d'une cible.
Selon Sophos, cette approche est due au fait que de nombreux produits de sécurité des machines finales ne s'exécutent pas en mode sans échec. Au cas où vous ne le sauriez pas, ce mode est un paramètre de diagnostic Windows spécial dans lequel la plupart des logiciels et pilotes tiers sont désactivés. À ce moment-là, ils sont en mode sans échec, ce qui peut rendre les machines protégées dangereuses.
D'autre part, AnyDesk est un outil d'administration à distance légitime. Ces derniers temps, il est devenu une alternative populaire à TeamViewer parmi les cybercriminels car il offre la même fonctionnalité. Ainsi, en exécutant AnyDesk en mode sans échec tout en étant connecté au réseau, vous autorisez le cybercriminel à garder le contrôle des machines infectées. Selon Peter Mackenzie, directeur de la réponse aux incidents chez Sophos, bien que ce ransomware utilise des techniques d'autres gangs, il a décrit l'utilisation de ce ransomware comme simple, mais très intelligente. Il a également ajouté que bien que certaines techniques aient été copiées, c'était la première fois qu'AnyDesk était installé pour la commande et le contrôle des machines en mode sans échec. Les attaquants d'AvosLocker redémarrent les machines en mode sans échec pour les étapes finales de l'attaque. Ils modifient ensuite les paramètres de démarrage en mode sans échec pour permettre à AnyDesk de s'installer et de s'exécuter.
Enfin, les propriétaires légitimes peuvent ne pas être en mesure de gérer cet ordinateur à distance s'il est configuré pour exécuter AnyDesk en mode sans échec. Cela signifie qu'un administrateur aura besoin d'un accès physique à l'ordinateur infecté pour le gérer. Cela peut poser de sérieux problèmes pour un grand réseau d'ordinateurs et de serveurs Windows.
Autres techniques que vous utilisez
Sophos a détecté qu'AvosLocker a utilisé des techniques intéressantes. L'un est qu'un Linux/Unix Le composant cible les serveurs hyperviseurs VMware ESXi, supprime toutes les machines virtuelles, puis chiffre les fichiers de la machine virtuelle. En ce moment, Sophos essaie de découvrir comment les cybercriminels ont obtenu les informations d'identification d'administrateur nécessaires pour activer ESX Shell ou accéder au serveur.
Les attaquants ont également utilisé l'outil d'administration informatique PDQ Deploy, pour envoyer divers scripts batch Windows aux machines cibles, notamment Love.bat, update.bat et lock.bat. Comme Sophos l'a découvert, en cinq secondes environ :
- Ces scripts désactivent les produits de sécurité qui peuvent s'exécuter en mode sans échec.
- Windows Defender est désactivé.
- Ils permettent à l'outil d'administration à distance AnyDesk du cybercriminel de fonctionner en mode sans échec.
- Ils ont créé un nouveau compte avec des informations de connexion automatiques.
- Ils se connectent au contrôleur de domaine de la cible pour obtenir un accès à distance et exécuter l'exécutable du ransomware appelé update.exe.
Sophos prévient que ce ransomware est un problème difficile à résoudre. La raison en est que non seulement vous devez faire face au ransomware lui-même, mais vous devez également faire face à toute porte dérobée qui s'est établie sur le réseau cible.
Enfin, les dangers de payer une rançon de ransomware doivent être signalés car vous n'avez aucune garantie de pouvoir récupérer vos fichiers ou que vous serez à nouveau attaqué dans un court laps de temps.
