Lors d’attaques récentes, le gang de rançongiciels AvosLocker a commencé à se concentrer sur la désactivation des solutions de sécurité des terminaux qui se dressent sur leur chemin en redémarrant les systèmes compromis en mode sans échec Windows.
Cette tactique facilite le chiffrement des fichiers des victimes, car la plupart des solutions de sécurité seront automatiquement désactivées après le démarrage des appareils Windows en mode sans échec.
Et leur nouvelle approche semble être assez efficace puisque le nombre d’attaques attribuées au groupe en particulier augmente.
Cryptage en ‘Mode sans échec’
Les opérateurs d’AvosLocker tirent parti de PDQ Deploy, un outil de déploiement légitime pour automatiser la gestion des correctifs, pour déposer plusieurs scripts batch Windows sur la machine cible, ce qui les aide à préparer le terrain pour l’attaque, selon un rapport du chercheur principal des SophosLabs Andrew Brandt.
Ces scripts modifient ou suppriment les clés de registre qui appartiennent à des outils de sécurité des terminaux spécifiques, notamment Windows Defender et les produits de Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender et Cylance.
Les scripts créent également un nouveau compte utilisateur sur la machine compromise, le nommant « newadmin » et l’ajoutant au groupe d’utilisateurs Administrateurs.
Ensuite, ils configurent ce compte pour se connecter automatiquement lorsque le système redémarre en mode sans échec avec mise en réseau et désactivent les clés de registre de la boîte de dialogue « avis juridique » qui pourraient entraver la connexion automatique.
Enfin, les scripts exécutent une commande de redémarrage qui met la machine en mode sans échec. Une fois qu’il est rétabli, la charge utile du ransomware est exécutée à partir d’un emplacement de contrôleur de domaine.
Si le processus d’exécution automatisé de la charge utile échoue, l’acteur peut prendre le contrôle manuel de la procédure à l’aide de l’outil d’accès à distance AnyDesk.
« L’avant-dernière étape du processus d’infection est la création d’une clé » RunOnce « dans le registre qui exécute la charge utile du ransomware, sans fichier, à partir de l’endroit où les attaquants l’ont placée sur le contrôleur de domaine », explique Brandt.
« Il s’agit d’un comportement similaire à ce que nous avons vu IcedID et d’autres logiciels de rançon comme méthode d’exécution de charges utiles de logiciels malveillants sans laisser les fichiers toucher le système de fichiers de l’ordinateur infecté. »
Mode sans échec utilisé pour contourner facilement la sécurité des points de terminaison
Cette même méthode d’exécution en mode sans échec était auparavant utilisée par d’autres groupes de ransomware, notamment REvil (avec connexion automatique également), BlackMatter et Snatch, il s’agit donc clairement d’une lacune de sécurité qui doit être comblée.
L’idée derrière la mise en mode sans échec de la machine est de désactiver tous les outils de sécurité en cours d’exécution, car la plupart des solutions de protection des terminaux ne fonctionnent pas dans ce mode.
Grâce à cette astuce simple mais efficace, même les machines adéquatement protégées peuvent être rendues sans défense contre les chaînes d’exécution de ransomware.
Pour éviter que des commandes de redémarrage arbitraires ne se manifestent sur vos machines, assurez-vous que vos outils de sécurité peuvent détecter et empêcher l’ajout de clés de registre suspectes.
Cette capacité peut interférer avec l’accès légitime au Registre, mais cela vaut bien la peine supplémentaire pour les administrateurs.
Comme le souligne Sophos dans son rapport, aucune alerte ne doit être considérée comme « de faible priorité », car une petite chose apparemment anodine pourrait être un lien essentiel vers une chaîne d’exécution de ransomware.