El ransomware AvosLocker sorprende con nuevas tácticas de ataque

AvosLocker, una familia de ransomware relativamente nueva, está aumentando sus ataques mientras adopta nuevas tácticas para evadir el software de seguridad. Observado por primera vez en el mes de julio, el grupo ahora está usando AnyDesk en modo seguro de Windows para apuntar a sus víctimas.

Una investigación de Sophos Lab reportó actividades de dicho ransomware, el cual continúa buscando socios como agentes de acceso.

En sus campañas recientes, los actores del ransomware ahora están iniciando los sistemas Windows en modo seguro, porque muchos productos de seguridad para terminales no funcionan en este modo.

Además, ejecutar el software AnyDesk en modo seguro mientras está conectado a la red permite al atacante mantener el control sobre las máquinas infectadas.

Después de la infección, los operadores de AvosLocker reinician el sistema de destino en modo seguro para las etapas finales, mientras modifican la configuración de arranque del modo seguro para permitir la instalación de AnyDesk.

En tales casos, es posible que un usuario auténtico no pueda administrar una computadora de forma remota y requiera acceso físico para operar el sistema.

Dirigido a VMware ESXi

La última variante de AvosLocker tiene un componente de Linux que se dirige a los servidores del hipervisor VMware ESXi al terminar cualquier máquina virtual y luego encripta los archivos de la VM.
Los investigadores están investigando cómo los atacantes obtienen las credenciales de administrador necesarias para habilitar ESX Shell o acceder al servidor.

Detalles técnicos adicionales

Los expertos detectaron varias tácticas adicionales utilizadas por AvosLocker.

Los atacantes utilizaron la herramienta PDQ Deploy para difundir secuencias de comandos por lotes para las máquinas objetivo, como Love [.] Bat, update [.] Bat y lock [.] Bat.

En solo cinco segundos, estos scripts podrían deshabilitar los productos de seguridad que pueden ejecutarse en modo seguro, deshabilitar Windows Defender y permitir que la herramienta AnyDesk del atacante se ejecute en modo seguro.

Los scripts configuran una nueva cuenta con información de inicio de sesión automática y se conectan al controlador de dominio del objetivo para acceder de forma remota y ejecutar el ejecutable ransomware, actualizar [.] Exe.