圖片來源: 

Sophos

資安業者Sophos本周指出,今年6月才現身的勒索軟體AvosLocker於今年底的攻擊量大增,並揭露其攻擊手法是透過系統的安全模式(Safe Mode),在關閉防毒軟體的情況下,利用遠端桌面管理程式AnyDesk部署勒索軟體。

安全模式為作業系統的一種特殊診斷模式,主要用來替系統除錯,因此,在進入安全模式之際,系統會關閉絕大多數的第三方驅動程式與軟體,包括防毒軟體在內。由於它讓系統失去了防毒軟體的保護,有利勒索軟體的部署,因此,不只是AvosLocker,採用安全模式來部署勒索軟體的前輩還包括 Snatch、REvil與BlackMatter。

而AvosLocker的特別之處在於,駭客還變更了安全模式的啟動配置,以於該模式中安裝及使用遠端桌面管理程式AnyDesk。

圖片來源_Sophos

此外,Sophos發現AvosLocker駭客集團的部署彷若IT專家,採用了另一個IT管理工具PDQ Deploy將Windows的批次處理腳本程式傳送到目標對象上,這些批次檔案在電腦進入安全模式之前就執行,目的為協調攻擊的每一個階段,並替最後一個部署勒索軟體的最終階段奠定了基礎。

圖片來源_Sophos

Sophos提醒,在駭客如此縝密的規畫下,各大組織的IT安全團隊所面臨的將不只是阻止勒索軟體,因為就算成功防堵了勒索軟體,也應該移除受害系統上的其它駭客足跡,例如AnyDesk,否則駭客將能很輕易地再利用AnyDesk載入各式的惡意程式並重新展開攻擊。

迄今AvosLocker攻擊的範圍已橫跨美洲、中東及亞太地區,鎖定Windows及Linux作業系統,臺灣的技嘉科技也曾在10月淪為AvosLocker的受害者

熱門新聞

Advertisement