Sophos, leader mondial de la cybersécurité, a découvert un nouveau ransomware nommé AvosLocker. Dans cette attaque, les pirates utilisent le mode sans échec de Windows et l’outil d’administration à distance AnyDesk.
Le mode sans échec de Windows est une méthode très courante pour faire fonctionner un PC sans utiliser de mot de passe. En mode sans échec, nous ne pouvons pas accéder à tout, mais les pirates ont découvert qu’ils pouvaient accéder à AnyDesk. Avec AnyDesk, les pirates ont obtenu un accès à distance continu aux ordinateurs.
Sophos a révélé que les attaquants d’AvosLocker ont installé AnyDesk, de sorte qu’il fonctionne en mode sans échec. Ils ont désactivé les services de sécurité qui fonctionnent en mode sans échec et ont ensuite exécuté le ransomware en mode sans échec.
Le ransomware AvosLocker redémarre en mode sans échec pour contourner les outils de sécurité.
Dans un communiqué, le directeur de la réponse aux incidents chez Sophos, Peter Mackenzie, a déclaré,
« Sophos a découvert que les attaquants d’AvosLocker ont installé AnyDesk, afin qu’il fonctionne en mode sans échec, ont essayé de désactiver les composants des solutions de sécurité qui fonctionnent en mode sans échec, puis ont exécuté le ransomware en mode sans échec. Cela crée un scénario dans lequel les attaquants ont un contrôle total à distance sur chaque machine qu’ils ont configurée avec AnyDesk, tandis que l’organisation cible est probablement bloquée dans l’accès à distance à ces ordinateurs. Sophos n’a jamais vu certains de ces composants utilisés avec un ransomware, et certainement pas ensemble. »
AvosLocker a été créé en juin 2021, c’est un nouveau service de ransomware. L’équipe Sophos Rapid Response a vu les attaques d’AvosLocker en Amérique, au Moyen-Orient et dans la région Asie-Pacifique, ciblant les systèmes Windows et Linux.
Les chercheurs qui enquêtent sur le ransomware ont découvert que les attaquants utilisent PDQ Deploy sur les machines ciblées pour lancer et exécuter le script batch appelé « love.bat », « update.bat » ou « lock.bat ». Le script fournit une série de commandes consécutives qui rendent les machines prêtes à libérer le ransomware et à redémarrer en mode sans échec.
Peter Mackenzie a déclaré : « Les techniques utilisées par AvosLocker sont simples mais très astucieuses. Elles garantissent que le ransomware a les meilleures chances de s’exécuter en mode sans échec et permettent aux attaquants de conserver un accès à distance aux machines tout au long de l’attaque. »
La séquence de commandes prend environ cinq secondes à s’exécuter, et elle désactive les services de mise à jour de Windows et Windows Defender. Ensuite, elle désactive les composants des solutions logicielles de sécurité qui fonctionnent en mode sans échec.
Installer l’outil légal AnyDesk et le configurer pour qu’il fonctionne en mode sans échec tout en étant connecté au réseau. Les attaquants s’assurent de continuer à exécuter la commande et à la contrôler, puis ils créent un nouveau compte avec des détails de connexion automatique et se connectent aux contrôleurs de domaine de la cible pour accéder à distance et exécuter le ransomware appelé update.exe.