O ator de ameaças Avos ransomware atualiza seu arsenal de ataque

Atualmente, o AvosLocker oferece suporte a ambientes Windows, Linux e ESXi e fornece compilações automáticas altamente configuráveis ​​para o malware AvosLocker. Além disso, o agente da ameaça fornece um painel de controle para os afiliados, um painel de negociação com notificações push e sonoras, testes de descriptografia e acesso a uma rede diversificada de testadores de penetração, corretores de acesso inicial e outros contatos.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

A Avos também fornece serviços de chamadas e ataques DDoS, o que significa que eles fazem ligações para as vítimas para incentivá-las a pagar o resgate ou executar ataques DDoS durante a negociação para aumentar o estresse da situação.

AvosLocker já tem como alvo infraestruturas críticas nos EUA, como serviços financeiros, manufatura e instalações governamentais, de acordo com o FBI. A equipe Avos não permite ataques contra países pós-União Soviética. Um usuário apelidado de “Avos” foi observado tentando recrutar testadores de penetração com experiência em redes do Active Directory e corretores de acesso inicial em um fórum russo.

No final de 2021, o grupo pediu desculpas por um ataque direcionado a uma agência policial dos EUA e forneceu uma descriptografia imediata e gratuita para todos os dados que haviam sido criptografados. Um afiliado já havia alvejado com sucesso essa agência policial, provavelmente sem perceber, então o grupo Avos decidiu fornecer a descriptografia para a agência.

Infecções e ferramentas AvosLocker

As campanhas de e-mail de spam são usadas como um vetor de infecção inicial para se estabelecer na rede de destino antes de implantar o ransomware.

Outros métodos podem ser usados ​​para a infecção inicial. Talos observou um caso em que o comprometimento inicial foi feito por meio de um servidor ESXi exposto na Internet por meio do VMWare Horizon Unified Access Gateways (UAG) e vulnerável à vulnerabilidade do Log4Shell.

Uma vez dentro da rede comprometida, os invasores usaram várias ferramentas maliciosas nos terminais. Eles também usaram LoLBins (Living-off-the-Land Binaries), que são binários não maliciosos já instalados em sistemas operacionais, como o WMI Provider Host (wmiprvse.exe).

Quatro semanas após o comprometimento inicial, o agente da ameaça executou um comando codificado do PowerShell utilizando DownloadString. Nos dias seguintes, vários comandos do PowerShell foram executados para baixar arquivos e ferramentas adicionais, como beacons Mimikatz e Cobalt Strike. Um scanner de portas conhecido como SoftPerfect Network Scanner também foi baixado e usado. Este scanner de portas é uma ferramenta disponível comercialmente, e a Avos é conhecida por fazer uso frequente dele. Os cibercriminosos então modificaram as configurações administrativas em um host local e remoto para ajudar a passar para o estágio de movimento lateral do ataque.

Outra instância do scanner de porta foi transferida via AnyDesk para outro servidor na rede comprometida.

Depois que todos os movimentos laterais e de reconhecimento forem concluídos, os invasores usam uma ferramenta de implantação de software legítima chamada PDQ Deploy para distribuir o ransomware e outras ferramentas na rede de destino.

No passado, os ataques da Avos também revelaram o uso de outras ferramentas: a ferramenta cliente de cópia PuTTY Secure (pscp.exe), Rclone, Advanced IP scanner e WinLister.

No final do processo, as vítimas recebem uma nota de resgate (Figura B).

Figura B