La banda de ransomware AvosLocker se ha relacionado con ataques contra sectores de infraestructura cr\u00edticos en los EE. UU., y algunos de ellos se detectaron en mayo de 2023.<\/p>\n
Esto es seg\u00fan un nuevo aviso conjunto de ciberseguridad publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) que detalla las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de la operaci\u00f3n de ransomware como servicio (RaaS). ).<\/p>\n
“Los afiliados de AvosLocker comprometen las redes de las organizaciones mediante el uso de software leg\u00edtimo y herramientas de administraci\u00f3n remota de sistemas de c\u00f3digo abierto”, dijeron las agencias. dicho<\/a>. “Los afiliados de AvosLocker luego utilizan t\u00e1cticas de extorsi\u00f3n de datos basadas en la filtraci\u00f3n con amenazas de filtrar y\/o publicar datos robados”.<\/p>\n La cepa de ransomware apareci\u00f3 por primera vez en escena a mediados de 2021 y desde entonces ha aprovechado t\u00e9cnicas sofisticadas para desactivar la protecci\u00f3n antivirus como medida de evasi\u00f3n de detecci\u00f3n. Afecta a entornos Windows, Linux y VMware ESXi.<\/p>\n Una caracter\u00edstica clave de los ataques de AvosLocker es la dependencia de herramientas de c\u00f3digo abierto y t\u00e1cticas de vida de la tierra (LotL), sin dejar rastros que puedan conducir a la atribuci\u00f3n. Tambi\u00e9n se utilizan utilidades leg\u00edtimas como FileZilla y Rclone para la filtraci\u00f3n de datos, as\u00ed como herramientas de tunelizaci\u00f3n como Chisel y Ligolo.<\/p>\n El comando y control (C2) se logra mediante Cobalt Strike y Sliver, mientras que Lazagne y Mimikatz se usan para el robo de credenciales. Los ataques tambi\u00e9n emplean scripts personalizados de PowerShell y Windows Batch para movimiento lateral, escalada de privilegios y desarmado de software de seguridad.<\/p>\n “Los afiliados de AvosLocker han subido y utilizado shells web personalizados para permitir el acceso a la red”, se\u00f1alaron las agencias. Otro componente nuevo es un ejecutable llamado NetMonitor.exe que se hace pasar por una herramienta de monitoreo de red pero que en realidad funciona como un proxy inverso para permitir que los actores de amenazas se conecten al host desde fuera de la red de la v\u00edctima.<\/p>\n CISA y el FBI recomiendan a las organizaciones de infraestructura cr\u00edtica que implementen las mitigaciones necesarias para reducir la probabilidad y el impacto del ransomware AvosLocker y otros incidentes de ransomware.<\/p>\n Esto incluye adoptar controles de aplicaciones, limitar el uso de RDP y otros servicios de escritorio remoto, restringir el uso de PowerShell, requerir autenticaci\u00f3n multifactor resistente al phishing, segmentar redes, mantener todos los sistemas actualizados y realizar copias de seguridad peri\u00f3dicas fuera de l\u00ednea.<\/p>\n El desarrollo llega como Mozilla. prevenido<\/a> de ataques de ransomware aprovechando campa\u00f1as de publicidad maliciosa<\/a> que enga\u00f1an a los usuarios para que instalen versiones troyanizadas de Thunderbird, lo que en \u00faltima instancia conduce a la implementaci\u00f3n de malware de cifrado de archivos y familias de malware gen\u00e9rico como IcedID.<\/p>\n Los ataques de ransomware en 2023 han experimentado un aumento importante, incluso cuando los actores de amenazas se est\u00e1n moviendo r\u00e1pidamente para implementar ransomware dentro del d\u00eda posterior al acceso inicial en m\u00e1s del 50% de las interacciones, seg\u00fan Secureworks, cayendo desde el tiempo medio de permanencia anterior de 4,5 d\u00edas en 2022. .<\/p>\n Es m\u00e1s, en m\u00e1s del 10 por ciento de los incidentes, el ransomware se implement\u00f3 en cinco horas. <\/p>\n “El factor que impulsa la reducci\u00f3n del tiempo medio de permanencia probablemente se deba al deseo de los ciberdelincuentes de tener menos posibilidades de ser detectados”, dijo Don Smith, vicepresidente de inteligencia de amenazas de Secureworks Counter Threat Unit, dicho<\/a>.<\/p>\n “Como resultado, los actores de amenazas se est\u00e1n centrando en operaciones m\u00e1s simples y r\u00e1pidas de implementar, en lugar de grandes eventos de cifrado de m\u00faltiples sitios en toda la empresa que son significativamente m\u00e1s complejos. Pero el riesgo de esos ataques sigue siendo alto”.<\/p>\n La explotaci\u00f3n de aplicaciones p\u00fablicas, el robo de credenciales, el malware disponible en el mercado y los servicios remotos externos se han convertido en los tres principales vectores de acceso inicial para los ataques de ransomware.<\/p>\n Para echar sal en la herida, el modelo RaaS y la f\u00e1cil disponibilidad del c\u00f3digo ransomware filtrado han reducido la barrera de entrada incluso para los delincuentes novatos, convirti\u00e9ndolo en una v\u00eda lucrativa para obtener ganancias il\u00edcitas.<\/p>\n “Si bien todav\u00eda vemos nombres familiares como los actores de amenazas m\u00e1s activos, el surgimiento de varios grupos de amenazas nuevos y muy activos est\u00e1 impulsando un aumento significativo en las fugas de datos y v\u00edctimas”, a\u00f1adi\u00f3 Smith. “A pesar de las detenciones y sanciones de alto perfil, los ciberdelincuentes son maestros de la adaptaci\u00f3n, por lo que la amenaza contin\u00faa ganando ritmo”.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/El-FBI-y-la-CISA-advierten-sobre-el-aumento-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n