ผู้ใช้อินเทอร์เน็ตในโลกดิจิทัลกำลังเผชิญกับอันตรายมากมาย ด้วยเหตุผลนี้ นอกจากจะได้รับความคุ้มครองแล้ว เราต้องรับทราบเป็นอย่างดี ในเรื่องนี้ ผู้ใช้ต้องจัดการกับไวรัส โทรจัน เวิร์มคอมพิวเตอร์ และมัลแวร์ประเภทอื่นๆ ผู้ที่ได้รับบทบาทสำคัญอย่างไม่ต้องสงสัยในปี 2021 คือการโจมตีแบบฟิชชิงและแรนซัมแวร์ ในบทความนี้ เราจะมาพูดถึงแรนซัมแวร์ตัวใหม่ที่มีลูกเล่นบางอย่าง ข้ามการป้องกันทั้งหมดของคอมพิวเตอร์ของคุณ คุณต้องการที่จะรู้ว่ามันทำงานอย่างไร?
แรนซัมแวร์นี้หลบเลี่ยงการป้องกันทั้งหมด
การโจมตีของแรนซัมแวร์มีระยะสิ้นสุดด้วยการเคลื่อนไหวด้านข้างและในที่สุดก็ส่งผลกระทบ หลังจากการโจมตี เราจะเห็นว่าไฟล์ของเราถูกเข้ารหัสอย่างไร เราไม่สามารถเข้าถึงมันได้ และพวกเขาจะขอให้เราจ่ายค่าไถ่ พระเอกของวันนี้คือ อวอสล็อคเกอร์, แรนซัมแวร์ตัวใหม่ที่มีลูกเล่นง่ายๆ ที่สามารถหลบเลี่ยงซอฟต์แวร์ความปลอดภัยที่คุณติดตั้งไว้ในคอมพิวเตอร์ของคุณได้
Security บริษัท Sophos ได้ค้นพบว่าเบื้องหลัง ransomware นี้คือแก๊งที่โผล่ขึ้นมาในฤดูร้อนนี้และกำลังมองหาพันธมิตร ตัวอย่างเช่น พวกเขากำลังขายการเข้าถึงเครื่องที่ถูกแฮ็กอยู่แล้ว ดังนั้นจึงสามารถเป็นแนวทางที่ดีสำหรับอาชญากรไซเบอร์
การเข้าถึงระยะไกลด้วย Anydesk
หนึ่งในคุณสมบัติหลักของ อาวอสล็อคเกอร์ ที่มันเป็น ใช้เครื่องมือการดูแลระบบไอทีระยะไกลของ AnyDesk และวิ่งเข้าไป Windows โหมดปลอดภัย. ตัวเลือกนี้ถูกใช้โดยกลุ่มอาชญากรไซเบอร์ REvil, Snatch และ BlackMatter เพื่อปิดการใช้งานเครื่องมือรักษาความปลอดภัยและการจัดการไอทีของเป้าหมาย
จากข้อมูลของ Sophos แนวทางนี้เกิดจากการที่ผลิตภัณฑ์รักษาความปลอดภัยสำหรับเครื่องปลายทางจำนวนมากไม่ทำงานในเซฟโหมด ในกรณีที่คุณไม่ทราบ โหมดนี้เป็นการตั้งค่าการวินิจฉัย Windows แบบพิเศษ ซึ่งซอฟต์แวร์และไดรเวอร์ของบริษัทอื่นส่วนใหญ่ถูกปิดใช้งาน ในเวลานั้นพวกเขาอยู่ในเซฟโหมดสามารถทำให้เครื่องที่ได้รับการป้องกันไม่ปลอดภัย
ในทางกลับกัน AnyDesk เป็นเครื่องมือการดูแลระบบระยะไกลที่ถูกต้องตามกฎหมาย ในช่วงไม่กี่ครั้งที่ผ่านมา TeamViewer ได้กลายเป็นทางเลือกยอดนิยมในหมู่อาชญากรไซเบอร์ เนื่องจากมีฟังก์ชันการทำงานเหมือนกัน ดังนั้น ด้วยการเรียกใช้ AnyDesk ในเซฟโหมดขณะเชื่อมต่อกับเครือข่าย คุณอนุญาตให้อาชญากรไซเบอร์ควบคุมเครื่องที่ติดไวรัสได้ Peter Mackenzie ผู้อำนวยการฝ่ายตอบสนองเหตุการณ์ที่ Sophos บอก แม้ว่าแรนซัมแวร์นี้จะใช้เทคนิคจากแก๊งอื่น เขาอธิบายว่าการใช้แรนซัมแวร์นี้เรียบง่าย แต่ฉลาดมาก เขายังเสริมด้วยว่าถึงแม้เทคนิคบางอย่างจะถูกคัดลอก แต่นี่เป็นครั้งแรกที่มีการติดตั้ง AnyDesk สำหรับคำสั่งและการควบคุมเครื่องในขณะที่อยู่ในเซฟโหมด ผู้โจมตี AvosLocker จะรีบูตเครื่องในเซฟโหมดสำหรับขั้นตอนสุดท้ายของการโจมตี จากนั้นพวกเขาจะแก้ไขการตั้งค่าการบูตโหมดปลอดภัยเพื่อให้ AnyDesk ติดตั้งและรันได้
สุดท้าย เจ้าของที่ถูกต้องตามกฎหมายอาจไม่สามารถจัดการคอมพิวเตอร์เครื่องนั้นจากระยะไกลได้ หากได้รับการกำหนดค่าให้เรียกใช้ AnyDesk ในเซฟโหมด ซึ่งหมายความว่าผู้ดูแลระบบจะต้องเข้าถึงคอมพิวเตอร์ที่ติดไวรัสทางกายภาพเพื่อจัดการ ซึ่งอาจก่อให้เกิดปัญหาร้ายแรงกับเครือข่ายคอมพิวเตอร์และเซิร์ฟเวอร์ Windows ขนาดใหญ่
เทคนิคอื่นๆ ที่คุณใช้
Sophos ตรวจพบว่า AvosLocker ใช้เทคนิคที่น่าสนใจบางอย่าง หนึ่งคือ a ลินุกซ์ คอมโพเนนต์กำหนดเป้าหมายเซิร์ฟเวอร์ไฮเปอร์ไวเซอร์ VMware ESXi ลบเครื่องเสมือนออก แล้วเข้ารหัสไฟล์เครื่องเสมือน ในขณะนี้ Sophos พยายามค้นหาว่าอาชญากรไซเบอร์ได้รับข้อมูลรับรองผู้ดูแลระบบที่จำเป็นเพื่อเปิดใช้งาน ESX Shell หรือเข้าถึงเซิร์ฟเวอร์ได้อย่างไร
ผู้โจมตียังใช้เครื่องมือการดูแลระบบไอที PDQ Deploy เพื่อส่งสคริปต์ชุด Windows ต่างๆ ไปยังเครื่องเป้าหมาย รวมถึง Love.bat, update.bat และ lock.bat ตามที่ Sophos ค้นพบ ในเวลาประมาณห้าวินาที:
- สคริปต์เหล่านี้ปิดใช้งานผลิตภัณฑ์รักษาความปลอดภัยที่สามารถทำงานในเซฟโหมดได้
- Windows Defender ถูกปิดใช้งาน
- อนุญาตให้เครื่องมือการดูแลระบบระยะไกล AnyDesk ของอาชญากรไซเบอร์ทำงานในเซฟโหมดได้
- พวกเขาตั้งค่าบัญชีใหม่พร้อมรายละเอียดการเข้าสู่ระบบอัตโนมัติ
- พวกเขาเชื่อมต่อกับตัวควบคุมโดเมนของเป้าหมายเพื่อเข้าถึงระยะไกลและเรียกใช้โปรแกรมเรียกค่าไถ่ที่เรียกว่า update.exe
Sophos เตือนว่า ransomware นี้เป็นปัญหาที่แก้ไขได้ยาก เหตุผลก็คือเพราะคุณไม่เพียงต้องจัดการกับแรนซัมแวร์เท่านั้น แต่คุณต้องจัดการกับแบ็คดอร์ที่สร้างตัวเองบนเครือข่ายเป้าหมายด้วย
สุดท้าย อันตรายของการจ่ายค่าไถ่ ransomware ควรถูกชี้ให้เห็น เนื่องจากคุณไม่รับประกันว่าจะสามารถกู้คืนไฟล์ของคุณได้ หรือคุณจะถูกโจมตีอีกครั้งในระยะเวลาอันสั้น
