La banda de ransomware AvosLocker se ha relacionado con ataques contra sectores de infraestructura críticos en los EE. UU., y algunos de ellos se detectaron en mayo de 2023.
Esto es según un nuevo aviso conjunto de ciberseguridad publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) que detalla las tácticas, técnicas y procedimientos (TTP) de la operación de ransomware como servicio (RaaS). ).
«Los afiliados de AvosLocker comprometen las redes de las organizaciones mediante el uso de software legítimo y herramientas de administración remota de sistemas de código abierto», dijeron las agencias. dicho. «Los afiliados de AvosLocker luego utilizan tácticas de extorsión de datos basadas en la filtración con amenazas de filtrar y/o publicar datos robados».
La cepa de ransomware apareció por primera vez en escena a mediados de 2021 y desde entonces ha aprovechado técnicas sofisticadas para desactivar la protección antivirus como medida de evasión de detección. Afecta a entornos Windows, Linux y VMware ESXi.
Una característica clave de los ataques de AvosLocker es la dependencia de herramientas de código abierto y tácticas de vida de la tierra (LotL), sin dejar rastros que puedan conducir a la atribución. También se utilizan utilidades legítimas como FileZilla y Rclone para la filtración de datos, así como herramientas de tunelización como Chisel y Ligolo.
El comando y control (C2) se logra mediante Cobalt Strike y Sliver, mientras que Lazagne y Mimikatz se usan para el robo de credenciales. Los ataques también emplean scripts personalizados de PowerShell y Windows Batch para movimiento lateral, escalada de privilegios y desarmado de software de seguridad.
«Los afiliados de AvosLocker han subido y utilizado shells web personalizados para permitir el acceso a la red», señalaron las agencias. Otro componente nuevo es un ejecutable llamado NetMonitor.exe que se hace pasar por una herramienta de monitoreo de red pero que en realidad funciona como un proxy inverso para permitir que los actores de amenazas se conecten al host desde fuera de la red de la víctima.
CISA y el FBI recomiendan a las organizaciones de infraestructura crítica que implementen las mitigaciones necesarias para reducir la probabilidad y el impacto del ransomware AvosLocker y otros incidentes de ransomware.
Esto incluye adoptar controles de aplicaciones, limitar el uso de RDP y otros servicios de escritorio remoto, restringir el uso de PowerShell, requerir autenticación multifactor resistente al phishing, segmentar redes, mantener todos los sistemas actualizados y realizar copias de seguridad periódicas fuera de línea.
El desarrollo llega como Mozilla. prevenido de ataques de ransomware aprovechando campañas de publicidad maliciosa que engañan a los usuarios para que instalen versiones troyanizadas de Thunderbird, lo que en última instancia conduce a la implementación de malware de cifrado de archivos y familias de malware genérico como IcedID.
Los ataques de ransomware en 2023 han experimentado un aumento importante, incluso cuando los actores de amenazas se están moviendo rápidamente para implementar ransomware dentro del día posterior al acceso inicial en más del 50% de las interacciones, según Secureworks, cayendo desde el tiempo medio de permanencia anterior de 4,5 días en 2022. .
Es más, en más del 10 por ciento de los incidentes, el ransomware se implementó en cinco horas.
«El factor que impulsa la reducción del tiempo medio de permanencia probablemente se deba al deseo de los ciberdelincuentes de tener menos posibilidades de ser detectados», dijo Don Smith, vicepresidente de inteligencia de amenazas de Secureworks Counter Threat Unit, dicho.
«Como resultado, los actores de amenazas se están centrando en operaciones más simples y rápidas de implementar, en lugar de grandes eventos de cifrado de múltiples sitios en toda la empresa que son significativamente más complejos. Pero el riesgo de esos ataques sigue siendo alto».
La explotación de aplicaciones públicas, el robo de credenciales, el malware disponible en el mercado y los servicios remotos externos se han convertido en los tres principales vectores de acceso inicial para los ataques de ransomware.
Para echar sal en la herida, el modelo RaaS y la fácil disponibilidad del código ransomware filtrado han reducido la barrera de entrada incluso para los delincuentes novatos, convirtiéndolo en una vía lucrativa para obtener ganancias ilícitas.
«Si bien todavía vemos nombres familiares como los actores de amenazas más activos, el surgimiento de varios grupos de amenazas nuevos y muy activos está impulsando un aumento significativo en las fugas de datos y víctimas», añadió Smith. «A pesar de las detenciones y sanciones de alto perfil, los ciberdelincuentes son maestros de la adaptación, por lo que la amenaza continúa ganando ritmo».
Microsoft, en su Informe anual de Defensa Digital, dijo que el 70% de las organizaciones que enfrentan ransomware operado por humanos tenían menos de 500 empleados, y que entre el 80 y el 90 por ciento de todos los ataques se originan en dispositivos no administrados.
Los datos de telemetría recopilados por la empresa muestran que los ataques de ransomware operados por humanos han aumentado más del 200 por ciento desde septiembre de 2022. Magniber, LockBit, Hive y BlackCat representaron casi el 65 por ciento de todos los encuentros de ransomware.
Además de eso, aproximadamente el 16 por ciento de los recientes ataques exitosos de ransomware operados por humanos involucraron tanto cifrado como exfiltración, mientras que un 13 por ciento utilizó solo la exfiltración.
«Los operadores de ransomware también están explotando cada vez más vulnerabilidades en software menos común, lo que hace más difícil predecir y defenderse de sus ataques», afirmó el gigante tecnológico. «Esto refuerza la importancia de un enfoque de seguridad holístico».
Redmond dijo que también observó un «fuerte aumento» en el uso de cifrado remoto durante ataques de ransomware operados por humanos, representando un 60 por ciento en promedio durante el año pasado.
«En lugar de implementar archivos maliciosos en el dispositivo de la víctima, el cifrado se realiza de forma remota, y el proceso del sistema realiza el cifrado, lo que hace que la reparación basada en procesos sea ineficaz», explicó Microsoft. «Esta es una señal de que los atacantes están evolucionando para minimizar aún más su huella».