El ransomware AvosLocker se reinicia en modo seguro para evitar las herramientas de seguridad

En ataques recientes, la banda de ransomware AvosLocker ha comenzado a centrarse en deshabilitar las soluciones de seguridad de punto final que evitan que los sistemas comprometidos se reinicien en el Modo seguro de Windows.

Esta táctica facilita el cifrado de los archivos de las víctimas, ya que la mayoría de las soluciones de seguridad se desactivarán automáticamente después de iniciar los dispositivos Windows en modo seguro.

Y su nuevo enfoque parece ser bastante efectivo ya que la cantidad de ataques atribuidos a ese grupo en particular está aumentando.

Cifrado "Modo seguro"

Según un informe del investigador principal de SophosLabs, Andrew Brandt, los operadores de AvosLocker aprovechan PDQ Deploy, una herramienta de implementación legítima para automatizar la administración de parches, para lanzar varios scripts por lotes de Windows en la máquina de destino, lo que les ayuda a deshacerse de las bases del ataque.

Estos scripts modifican o eliminan claves de registro que pertenecen a herramientas de seguridad de endpoints específicas, incluidos Windows Defender y productos de Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender y Cylance.

Los scripts también crean una nueva cuenta de usuario en la máquina comprometida, la nombran "newadmin" y la agregan al grupo de usuarios Administradores.

A continuación, configuran esa cuenta para el inicio de sesión automático cuando el sistema se reinicia en Modo seguro con funciones de red y deshabilitan las claves de registro en el cuadro de diálogo "Advertencia legal" que puede estar bloqueando el inicio de sesión automático.

Finalmente, los scripts ejecutan un comando de reinicio que pone la máquina en modo seguro. Una vez que vuelve a estar activo, la carga útil del ransomware se ejecuta desde una ubicación en el controlador de dominio.

Si el proceso de ejecución de la carga útil automatizada falla, el actor puede tomar el control manual del proceso utilizando la herramienta de acceso remoto AnyDesk.

"El penúltimo paso en el proceso de infección es crear una clave 'RunOnce' en el registro que paga el ransomware, sin archivos, desde donde los atacantes lo colocaron en el controlador de dominio", explica Brandt.

"Este es un comportamiento similar a lo que hemos visto que IcedID y otros ransomware hacen como un método para ejecutar cargas útiles de malware sin que los archivos toquen el sistema de archivos de la computadora infectada".

Modo seguro utilizado para eludir fácilmente la seguridad de los endpoints

Este mismo método de ejecución en modo seguro fue utilizado anteriormente por otros grupos de ransomware, incluidos REvil (con inicio de sesión automático también), BlackMatter y Snatch, por lo que este es claramente un agujero de seguridad que debe abordarse.

La idea detrás de poner la máquina en modo seguro es deshabilitar todas las herramientas de seguridad en ejecución, ya que la mayoría de las soluciones de protección de endpoints no funcionan en ese modo.

Con este truco simple pero efectivo, incluso las máquinas debidamente protegidas pueden estar indefensas contra las cadenas de ejecución de ransomware.

Para evitar que aparezcan comandos de reinicio arbitrarios en sus computadoras, asegúrese de que sus herramientas de seguridad sean capaces de detectar y evitar la adición de claves de registro sospechosas.

Esta función puede interferir con el acceso legítimo al registro, pero vale la pena la molestia adicional para los administradores.

Como señala Sophos en su informe, ninguna advertencia debe tratarse como de "baja prioridad", ya que una cosa pequeña y aparentemente inofensiva podría ser un eslabón crítico para una cadena de ejecución de ransomware.