اكتشف شركة Sophos للبرمجيّات وأجهزة الأمان، باعتبارها من الشركات الرائدة في مجال الأمن السيبرانيّ، فيروسات فدية جديدة تسمّى AvosLocker، في هذا الهجوم يستخدم المخترقون الوضع الآمن لويندوز لتثبيت أداة AnyDesk المخصّصة للإدارة عن بُعد.

يعدّ الوضع الآمن لويندوز طريقة شائعة جدًّا لتشغيل جهاز كمبيوتر دون استخدام كلمة مرور، وفي هذا الوضع لا يمكن للمستخدم الوصول إلى كلّ شيء، ولكن على ما يبدو أنّ المخترقين اكتشفوا أنّه يمكنهم تثبيت أداة AnyDesk، ومع هذه الأداة يمكن للمخترقين أن يحصلوا على وصول مستمرّ عن بعد لأجهزة الكمبيوتر.

ووفقًا لبيان صدر عن Peter Mackenzie مدير الاستجابة للحوادث في Sophos، أنّ مهاجمي AvosLocker قاموا بتثبيت AnyDesk وهو يعمل في الوضع الآمن، وحاولوا تعطيل مكوّنات حلول الأمان الّتي تعمل في الوضع الآمن، ثمّ قاموا بتشغيل برنامج الفدية، يؤدّي هذا إلى إنشاء سيناريو يتمتّع فيه المهاجمون بالتحكّم الكامل عن بعد في كلّ جهاز قاموا بإعداده باستخدام AnyDesk.

تمّ اكتشاف AvosLocker لأوّل مرّة في يونيو / حزيران في هذا العام 2021، وهي أداة فدية جديدة، وشهد فريق الاستجابة السريعة من Sophos هجمات AvosLocker في أمريكا والشرق الأوسط ومناطق آسيا والمحيط الهادئ الّتي تستهدف أنظمة الويندوز ولينوكس.

وجد الباحثون الّذين قاموا بالتحقيق في برنامج الفدية أنّ المهاجمين يستخدمون PDQ Deploy على الأجهزة المستهدفة لتشغيل وتنفيذ البرنامج النصّيّ الدفعيّ المسمّى “love.bat” أو “update. bat” أو “lock.bat”، ويوفّر البرنامج النصّيّ سلسلة من الأوامر المتتالية الّتي تجعل الأجهزة جاهزة لتحرير برامج الفدية وإعادة التشغيل في الوضع الآمن.

وذكر Peter Mackenzie إنّ التقنيّات الّتي تستخدمها AvosLocker بسيطة ولكنّها ذكيّة جدًّا، أنهم يتأكدون أنّ برنامج الفدية لديه أفضل فرصة للتشغيل في الوضع الآمن ويسمح للمهاجمين بالاحتفاظ بالوصول عن بعد إلى الأجهزة طوال فترة الهجوم.

 قد يستغرق تسلسل الأوامر حوالي خمس ثوان للتنفيذ، ويعطّل خدمات تحديث ويندوز و Windows Defender، وثمّ يقوم بتعطيل مكوّنات حلول برامج الأمان الّتي تعمل في الوضع الآمن، ثمّ يقوم المخترقون بتثبيت أداة AnyDesk القانونيّة وثمّ يقومون بتعيينها للتشغيل في الوضع الآمن أثناء الاتّصال بالشبكة، ويتأكّد المهاجمون من الاستمرار في تشغيل الأمر والتحكّم فيه، ثمّ يقومون بإعداد حساب جديد بتفاصيل تسجيل الدخول التلقائيّ والاتّصال بوحدات التحكّم في المجال، والهدف هو الوصول عن بعد وتشغيل برنامج الفدية المسمّى update.exe.