El actor de amenazas del ransomware Avos actualiza su arsenal de ataques


El actor de amenazas de ransomware Avos ha actualizado recientemente sus herramientas, no solo utilizando program malicioso sino también productos comerciales.

Protección de la seguridad de la red y protección de sus datos contra el concepto de ransomware. Icono de escudo de protección cibernética en el servidor. Seguridad de la información y detección de virus para (BEC) Business Email Compromise.
Imagen: Yingyaipumi/Adobe Stock

un nuevo reporte de Cisco Talos Intelligence Team expone nuevas herramientas utilizadas en los ataques de ransomware Avos.

¿Quién es Avos?

Avos es un grupo de ransomware activo desde julio de 2021. El grupo sigue el modelo de negocio Ransomware as a Service, lo que significa que proporciona servicios de ransomware a diferentes afiliados (Figura A).

Figura A

Imagen: sitio net de Avos. Servicios de AvosLocker para sus afiliados.

AvosLocker actualmente es compatible con entornos Windows, Linux y ESXi y proporciona compilaciones automáticas altamente configurables para el malware AvosLocker. Además, el actor de amenazas proporciona un panel de regulate para los afiliados, un panel de negociación con notificaciones automáticas y de sonido, pruebas de descifrado y acceso a una red diversa de probadores de penetración, corredores de acceso inicial y otros contactos.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Avos también brinda servicios de llamadas y ataques DDoS, lo que significa que hacen llamadas telefónicas a las víctimas para alentarlas a pagar el rescate o ejecutar ataques DDoS durante la negociación para agregar estrés a la situación.

AvosLocker ya ha apuntado a infraestructuras críticas en los EE. UU., como servicios financieros, manufactura e instalaciones gubernamentales, según el FBI. El equipo de Avos no permite ataques contra países postsoviéticos. Se ha observado a un usuario apodado “Avos” tratando de reclutar probadores de penetración con experiencia en redes de Energetic Directory y corredores de acceso inicial en un foro ruso.

A fines de 2021, el grupo se disculpó por un ataque dirigido a una agencia de policía de EE. UU. y proporcionó un descifrado inmediato y gratuito de todos los datos que se habían cifrado. Un afiliado ya se había dirigido con éxito a esa agencia de policía, probablemente sin darse cuenta, por lo que el grupo Avos decidió proporcionar el descifrado a la agencia.

Infecciones y herramientas de AvosLocker

Las campañas de correo electrónico no deseado se utilizan como un vector de infección inicial para afianzarse en la pink de destino antes de implementar el ransomware.

Se pueden usar otros métodos para la infección inicial. Talos observó un caso en el que el compromiso inicial se realizó a través de un servidor ESXi expuesto en World wide web a través de VMWare Horizon Unified Obtain Gateways (UAG) y vulnerable a la vulnerabilidad Log4Shell.

Una vez dentro de la pink comprometida, los atacantes utilizaron varias herramientas maliciosas en los puntos finales. También utilizaron LoLBins (Dwelling-off-the-Land Binaries), que son binarios no maliciosos ya instalados en los sistemas operativos, como WMI Service provider Host (wmiprvse.exe).

Cuatro semanas después del compromiso inicial, el actor de amenazas ejecutó un comando codificado de PowerShell utilizando DownloadString. En los días siguientes, se ejecutaron varios comandos de PowerShell para descargar archivos y herramientas adicionales, como las balizas Mimikatz y Cobalt Strike. También se descargó y utilizó un escáner de puertos conocido como SoftPerfect Community Scanner. Este escáner de puertos es una herramienta disponible comercialmente y se sabe que Avos lo united states of america con frecuencia. Luego, los ciberdelincuentes modificaron la configuración administrativa en un host regional y remoto para ayudar a pasar a la etapa de movimiento lateral del ataque.

Otra instancia del escáner de puertos se transfirió a través de AnyDesk a otro servidor en la crimson comprometida.

Una vez que se han completado todos los movimientos laterales y de reconocimiento, los atacantes usan una herramienta de implementación de software legítima llamada PDQ Deploy para propagar el ransomware y otras herramientas en la crimson de destino.

En el pasado, los ataques de Avos también revelaron el uso de otras herramientas: la herramienta de cliente de copia segura PuTTY (pscp.exe), Rclone, el escáner de IP avanzado y WinLister.

Al remaining del proceso, a las víctimas se les muestra una nota de rescate (Figura B).

Figura B

Imagen: Cisco Talos. Nota de rescate del ransomware AvosLocker.

A las víctimas de Avos que no pagan se les venden sus datos, como se indica en el sitio world-wide-web de Avos: “Todos los datos están EN VENTA. Contáctenos con sus ofertas. Solo vendemos datos a terceros si el propietario de dichos datos se niega a pagar”.

Cómo protegerse de Avos

Se debe implementar la segmentación de la pink para reducir el riesgo de que el ransomware cierre toda la organización. También es necesario implementar políticas de respaldo sólidas para evitar la pérdida de datos en caso de un ataque exitoso.

La autenticación de múltiples factores debe implementarse para todos los servicios que se enfrentan a Online, especialmente el acceso VPN y los sistemas de correo website. Los accesos deben configurarse con los mínimos privilegios.

Es necesario implementar soluciones antivirus y de seguridad para detectar la amenaza. La protección en tiempo real siempre debe estar habilitada. Todos los sistemas y el program deben estar actualizados y parcheados para evitar caer en vulnerabilidades comunes.

Se debe capacitar y concienciar a todos los empleados, especialmente para distinguir los correos electrónicos de phishing o cualquier truco de ingeniería social que pueda dirigirse al usuario.

Divulgación: trabajo para Development Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia first