Jak donosi Sophos, ransomware pojawił się latem tego roku, funkcjonuje w modelu „ransomware as a service” i jest obsługiwany bezpośrednio przez hakera. Poszukuje on w sieci tzw. brokerów dostępu, którzy wskazują zhakowane już wcześniej systemy i wiedzę o tym, jak można się do nich włamać. Działa więc w podobny sposób jak malware noszący nazwę REvil.

AvosLocker korzysta np. z usług znanego narzędzia AnyDesk (które potrafi zarządzać komputerem zdalnie), po to aby jego ofiara zaczęła pracować w trybie Safe Mode. To znana metoda postępowania niektórych złośliwych programów (takich jak wspomniany już wcześniej REvil czy Snatch i BlackMatter), które wiedzą iż komputer pracujący w trybie awaryjnym nie jest w stanie odeprzeć skutecznie ich ataków, gdyż wielu programów chroniących systemy przed włamaniami – szczególnie tych oferowanych przez inne niż Microsoft firmy – nie można wtedy uruchomić.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Co trzecia firma w Polsce z cyberincydentem
• Grupa hakerów LockBit unieszkodliwiona

Sophos wykrył kilka innych ciekawych technik używanych przez AvosLocker do atakowania serwerów linuksowych. Malware potrafi wtedy zakłócić pracę hiperwizora VMware ESXi i unieruchomić dowolną maszynę wirtualną, a następnie zaszyfrować obsługiwane przez nią pliki. Sophos nie wykrył jak dotąd, jak hakerzy uzyskują uprawnienia administratora, które są im niezbędne do zarządzania hiperwizorem ESX.

Sophos ostrzega, że AvosLocker jest trudnym przypadkiem, ponieważ problemem jest tu nie tylko samo oprogramowanie ransomware (które trzeba rozszyfrować i unieszkodliwić), ale konieczność poznania wszystkich mechanizmów postępowania cyberprzestępców, którzy starają się na wszystkie sposoby skonfigurować w atakowanych systemach tylne drzwi (backdoor), przez które mogą je bezkarnie atakować.