Internetnutzer sind in einer zunehmend digitalen Welt vielen Gefahren ausgesetzt. Aus diesem Grund müssen wir nicht nur geschützt sein, sondern auch gut informiert sein. Dabei müssen sich Nutzer mit Viren, Trojanern, Computerwürmern und anderen Schadprogrammen auseinandersetzen. Diejenigen, die 2021 zweifellos eine wichtige Rolle gespielt haben, sind Phishing- und Ransomware-Angriffe. In diesem Artikel werden wir über eine neue Ransomware sprechen, die mit bestimmten Tricks alle Abwehrmechanismen Ihres Computers umgeht. Möchten Sie wissen, wie sie das macht?
Diese Ransomware umgeht alle Abwehrmaßnahmen
Ein Ransomware-Angriff hat seine Phasen, die mit seitlicher Bewegung und schließlich Auswirkung enden. Nach dem Angriff werden wir sehen, wie unsere Dateien verschlüsselt wurden, wir verlieren den Zugriff darauf und sie werden uns auffordern, ein Lösegeld zu zahlen. Der Protagonist von heute ist AvosLocker, eine neue Ransomware, die mit bestimmten einfachen Tricks in der Lage ist, die auf Ihrem Computer installierte Sicherheitssoftware zu umgehen.
Sicherheit Die Firma Sophos hat herausgefunden, dass hinter dieser Ransomware eine Bande steckt, die diesen Sommer aufgetaucht ist und nach Partnern sucht. Zum Beispiel verkaufen sie bereits den Zugang zu bereits gehackten Maschinen, sodass es ein gutes Riff für Cyberkriminelle sein kann.
Fernzugriff mit Anydesk
Eines der Hauptmerkmale von AvosLocker ist, dass es verwendet das Remote-IT-Administrationstool AnyDesk und führt es ein Windows Sicherheitsmodus. Diese Option wurde von den Cyberkriminellen REvil, Snatch und BlackMatter verwendet, um die Sicherheits- und IT-Verwaltungstools eines Ziels zu deaktivieren.
Dieser Ansatz ist laut Sophos darauf zurückzuführen, dass viele Endmaschinen-Sicherheitsprodukte nicht im abgesicherten Modus laufen. Falls Sie es nicht wissen, dieser Modus ist eine spezielle Windows-Diagnoseeinstellung, in der die meisten Software und Treiber von Drittanbietern deaktiviert sind. Wenn sie sich zu diesem Zeitpunkt im abgesicherten Modus befinden, können die geschützten Maschinen unsicher werden.
Auf der anderen Seite ist AnyDesk ein legitimes Remoteverwaltungstool. In letzter Zeit hat es sich bei Cyberkriminellen zu einer beliebten Alternative zu TeamViewer entwickelt, da es die gleiche Funktionalität bietet. Indem Sie AnyDesk im abgesicherten Modus ausführen, während Sie mit dem Netzwerk verbunden sind, ermöglichen Sie dem Cyberkriminellen, die Kontrolle über die infizierten Computer zu behalten. Laut Peter Mackenzie, Director of Incident Response bei Sophos, beschrieb er die Verwendung dieser Ransomware als einfach, aber sehr clever, obwohl diese Ransomware Techniken anderer Gangs verwendet. Er fügte hinzu, dass, obwohl einige Techniken kopiert wurden, es das erste Mal war, dass AnyDesk für die Steuerung und Kontrolle der Maschinen im abgesicherten Modus installiert wurde. AvosLocker-Angreifer starten Maschinen im abgesicherten Modus für die letzten Phasen des Angriffs neu. Anschließend ändern sie die Boot-Einstellungen im abgesicherten Modus, damit AnyDesk installiert und ausgeführt werden kann.
Schließlich können rechtmäßige Besitzer diesen Computer möglicherweise nicht remote verwalten, wenn er für die Ausführung von AnyDesk im abgesicherten Modus konfiguriert ist. Dies bedeutet, dass ein Administrator physischen Zugriff auf den infizierten Computer benötigt, um ihn zu verwalten. Dies kann in einem großen Netzwerk von Windows-Computern und -Servern zu ernsthaften Problemen führen.
Andere Techniken, die Sie verwenden
Sophos hat festgestellt, dass AvosLocker einige interessante Techniken verwendet hat. Einer ist, dass a Linux Die Komponente zielt auf die VMware ESXi-Hypervisor-Server ab, entfernt alle virtuellen Maschinen und verschlüsselt dann die Dateien der virtuellen Maschinen. Im Moment versucht Sophos herauszufinden, wie die Cyberkriminellen die erforderlichen Administrator-Anmeldeinformationen erhalten haben, um ESX Shell zu aktivieren oder auf den Server zuzugreifen.
Die Angreifer nutzten außerdem das IT-Administrationstool PDQ Deploy, um verschiedene Windows-Batch-Skripte an die Zielmaschinen zu senden, darunter Love.bat, update.bat und lock.bat. Wie Sophos in etwa fünf Sekunden herausgefunden hat:
- Diese Skripts deaktivieren Sicherheitsprodukte, die im abgesicherten Modus ausgeführt werden können.
- Windows Defender ist deaktiviert.
- Sie ermöglichen die Ausführung des Remoteverwaltungstools AnyDesk des Cyberkriminellen im abgesicherten Modus.
- Sie richten ein neues Konto mit automatischen Zugangsdaten ein.
- Sie stellen eine Verbindung zum Domänencontroller des Ziels her, um Remotezugriff zu erhalten und die ausführbare Ransomware-Datei namens update.exe auszuführen.
Sophos warnt davor, dass diese Ransomware ein schwer zu lösendes Problem ist. Der Grund dafür ist, dass Sie sich nicht nur mit der Ransomware selbst, sondern auch mit jeder Hintertür auseinandersetzen müssen, die sich im Zielnetzwerk etabliert hat.
Abschließend sei noch auf die Gefahren der Zahlung eines Ransomware-Lösegeldes hingewiesen, da Sie keine Garantie haben, Ihre Dateien wiederherzustellen oder in kurzer Zeit erneut angegriffen zu werden.
