Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вымогатель AvosLocker может запускаться в безопасном режиме Windows

24/12/21

safe modeВымогательская группировка AvosLocker в ходе своих недавних атак сосредоточилась на отключении решений безопасности оконечных точек, перезагружая скомпрометированные системы под управлением Windows в безопасном режиме.

Подобная тактика упрощает шифрование файлов жертв, поскольку большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.

Согласно отчету исследователей из SophosLabs, операторы вымогателя AvosLocker используют легитимный инструмент развертывания для автоматизации управления исправлениями PDQ Deploy. С помощью инструмента хакеры размещают несколько пакетных скриптов Windows на устройстве, подготавливая плацдарм для атаки.

Скрипты изменяют или удаляют ключи реестра, принадлежащие определенным инструментам безопасности оконечных точек, включая Защитник Windows и продукты от «Лаборатории Касперского», Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance. Скрипты также создают новую учетную запись пользователя под названием newadmin на скомпрометированной системе, добавляя ее в группу пользователей «Администраторы».

Затем преступники настраивают учетную запись для автоматического входа в систему при перезагрузке в безопасном режиме с подключением к Сети и отключают разделы реестра диалогового окна «Правовое уведомление», которые могут помешать автоматическому входу. Скрипты выполняют команду перезагрузки, которая переводит компьютер в безопасный режим. Когда он снова заработает, полезная нагрузка программы-вымогателя запускается из местоположения контроллера домена.

Если автоматический процесс выполнения полезной нагрузки завершается неудачно, оператор может взять на себя ручное управление процедурой с помощью инструмента удаленного доступа AnyDesk.

«Предпоследним шагом в процессе заражения является создание ключа RunOnce в реестре, который без файлов выполняет полезную нагрузку программы-вымогателя», — пояснили эксперты.

Темы:WindowsУгрозыВымогателиКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...