Sophos, “AvosLocker Remotely Accesses Boxes, Even Running in Safe Mode” başlığıyla yayınladığı araştırma makalesinde AvosLocker adı verilen fidye yazılımına dair bulgularını paylaştı.
Sophos’un araştırması, saldırganların BT sorunlarının çözümü sırasında çoğu güvenlik ve BT yönetim aracını devre dışı bırakmalarını sağlayan Windows Güvenli Mod özelliği ve AnyDesk uzaktan yönetim aracını birlikte kullanarak güvenlik kontrollerini nasıl aşabildiklerine açıklık getiriyor.
AvosLocker, ilk olarak Haziran 2021’in sonlarında ortaya çıkan ve popülaritesi giderek artan hizmet odaklı yeni bir fidye yazılımı. Sophos Rapid Response ekibi şimdiye dek Amerika, Orta Doğu ve Asya Pasifik bölgesinde Windows ve Linux sistemlerini hedef alan AvosLocker saldırılarına rastladı.
Sophos Olay Müdahale Ekibi Direktörü Peter Mackenzie, detayları şöyle aktarıyor:
“AvosLocker’in arkasındakiler, AnyDesk’i hedef sistemlere Güvenli Modda çalışacak şekilde yükledikten sonra güvenlik çözümü bileşenlerini devre dışı bırakmaya odaklanıyor ve fidye yazılımını aktive ediyorlar. Böylece hedefledikleri tüm sistemler üzerinde kapsamlı uzaktan denetime sahip oluyorlar. Sophos olarak söz konusu bileşenlerden bazılarının fidye yazılımlarını yaymak amacıyla bu şekilde birlikte kullanıldığına daha önce rastlamamıştık. Bu tür saldırılarla karşı karşıya kalan BT güvenlik ekiplerinin, saldırıdan etkilenen tüm makinelerdeki AnyDesk kurulumlarının izleri temizlenene kadar riskin devam ettiğinin farkında olmaları gerekiyor.”
Fidye Yazılımı Dağıtım Süreci Nasıl İşliyor?
Fidye yazılımının davranışlarını gözlemleyen Sophos araştırmacıları, saldırının hedef makinelerde “love.bat”, “update.bat” veya “lock.bat” isimli toplu komut dosyalarını yürütmek için PDQ Deploy’un kullanmasıyla başladığını buldu. Söz konusu komut dosyaları, makineleri fidye yazılımı dağıtımına hazırlayan ve Güvenli Modda yeniden başlatan bir dizi ardışık komut içeriyor.
Yaklaşık beş saniyede tamamlanan komut süreci sırayla aşağıdaki adımları gerçekleştiriyor:
- Windows güncelleme hizmetleri ve Windows Defender devre dışı bırakılıyor
- Güvenli Modda çalışabilen ticari güvenlik yazılımı çözümlerine ait bileşenler devre dışı bırakılmaya çalışılıyor
- Meşru uzaktan yönetim aracı AnyDesk kuruluyor ve Güvenli Modda çalışacak şekilde ayarlıyor, böylece saldırganların kullanabileceği komuta kontrol altyapısı oluşturuluyor
- Otomatik oturum açma bilgileriyle yeni bir hesap oluşturuluyor ve “update.exe” adlı yürütülebilir fidye yazılımını uzaktan çalıştırmak için hedefin etki alanı denetleyicisine bağlanılıyor
AvosLocker tarafından kullanılan tekniklerin basit ama çok zekice olduğunu vurgulayan Mackenzie, “Uygulanan yöntemle fidye yazılımının Güvenli Modda çalıştırılması ve saldırganların makinelere uzaktan erişiminin sürdürülmesi sağlanıyor. Sophos olarak daha önce Snatch ve BlackMatter’in benzer teknikler uyguladığını görmüştük. Ancak bu fidye yazılımı gruplarının hiçbiri Güvenli Moddayken makinelerin komuta ve kontrolü için AnyDesk gibi bir uygulama yüklemeye çalışmadı. Böyle bir durumla ilk kez karşılaşıyoruz” diyor.