勒索軟體AvosLocker在安全模式下利用AnyDesk展開攻擊

資安業者Sophos本周指出，今年6月才現身的勒索軟體AvosLocker於今年底的攻擊量大增，並揭露其攻擊手法是透過系統的安全模式（Safe Mode），在關閉防毒軟體的情況下，利用遠端桌面管理程式AnyDesk部署勒索軟體。

安全模式為作業系統的一種特殊診斷模式，主要用來替系統除錯，因此，在進入安全模式之際，系統會關閉絕大多數的第三方驅動程式與軟體，包括防毒軟體在內。由於它讓系統失去了防毒軟體的保護，有利勒索軟體的部署，因此，不只是AvosLocker，採用安全模式來部署勒索軟體的前輩還包括 Snatch、REvil與BlackMatter。

而AvosLocker的特別之處在於，駭客還變更了安全模式的啟動配置，以於該模式中安裝及使用遠端桌面管理程式AnyDesk。

圖片來源_Sophos

此外，Sophos發現AvosLocker駭客集團的部署彷若IT專家，採用了另一個IT管理工具PDQ Deploy將Windows的批次處理腳本程式傳送到目標對象上，這些批次檔案在電腦進入安全模式之前就執行，目的為協調攻擊的每一個階段，並替最後一個部署勒索軟體的最終階段奠定了基礎。

圖片來源_Sophos

Sophos提醒，在駭客如此縝密的規畫下，各大組織的IT安全團隊所面臨的將不只是阻止勒索軟體，因為就算成功防堵了勒索軟體，也應該移除受害系統上的其它駭客足跡，例如AnyDesk，否則駭客將能很輕易地再利用AnyDesk載入各式的惡意程式並重新展開攻擊。

迄今AvosLocker攻擊的範圍已橫跨美洲、中東及亞太地區，鎖定Windows及Linux作業系統，臺灣的技嘉科技也曾在10月淪為AvosLocker的受害者。