Un reporte de la firma de ciberseguridad Sophos señala la detección de un grupo de hacking que está tratando de evadir los controles de seguridad en los sistemas atacados mediante el uso combinado del Modo Seguro del sistema Windows y la herramienta de administración remota AnyDesk.
Como ya sabrá, el Modo Seguro de Windows es un método de soporte informático para la resolución de problemas que requiere de la inhabilitación de la mayoría de las herramientas de seguridad en el sistema en cuestión, mientras que AnyDesk brinda a los usuarios acceso remoto continuo a un sistema.
Los investigadores de Sophos descubrieron que los actores de amenazas detrás de esta campaña buscan infectar los sistemas vulnerables con la variante de ransomware AvosLocker, instalando la herramienta AnyDesk para habilitar de forma arbitraria el Modo Seguro y desactivar los mecanismos de seguridad en el sistema objetivo.
De este modo, se crea un escenario en el que los actores de amenazas tienen control remoto total sobre cada máquina que han configurado con AnyDesk, mientras que los sistemas afectados no son capaces de alertar al administrador legítimo sobre las acciones maliciosas. Los expertos de Sophos aseguran que esta es la primera ocasión en que encuentran a un grupo de hacking usando esta táctica.
Sobre AvosLocker, los expertos mencionan que esta es una plataforma de ransomware como servicio (RaaS) detectada por primera vez a mediados de 2021 y capaz de infectar tanto sistemas Windows como distribuciones Linux. Desde su detección, AvosLocker ha incrementado considerablemente su popularidad, con ataques confirmados en Estados Unidos, América Latina, Oriente Medio y algunas regiones de Asia.
El reporte agrega que la secuencia principal comienza con los atacantes usando PDQ Deploy para la ejecución de un script identificado como “love.bat” o “lock.bat” en los sistemas afectados. Posteriormente, los hackers lanzan una serie de comandos que preparan el sistema objetivo para la instalación del ransomware, reiniciando el sistema en Modo Seguro. La ejecución de comandos toma alrededor de cinco segundos e incluye la inhabilitación de los servicios de actualización de Windows y Windows Defender.
El uso de AnyDesk garantiza acceso de comando y control continuo a los actores de amenazas, además de que permite la creación de una nueva cuenta con detalles de inicio de sesión automático para conectarse al controlador de dominio afectado de forma remota, completando así el ataque.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
