Le groupe de ransomwares AvosLocker a été associé à des attaques contre des secteurs d’infrastructures critiques aux États-Unis, certaines d’entre elles ayant été détectées aussi récemment qu’en mai 2023.
C’est ce que révèle un nouvel avis conjoint sur la cybersécurité publié par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) détaillant les tactiques, techniques et procédures (TTP) de l’opération ransomware-as-a-service (RaaS). ).
« Les affiliés d’AvosLocker compromettent les réseaux des organisations en utilisant des logiciels légitimes et des outils d’administration de système à distance open source », affirment les agences. dit. « Les affiliés d’AvosLocker utilisent ensuite des tactiques d’extorsion de données basées sur l’exfiltration avec des menaces de fuite et/ou de publication de données volées. »
La souche de ransomware est apparue pour la première fois au milieu de l’année 2021 et a depuis exploité des techniques sophistiquées pour désactiver la protection antivirus comme mesure d’évasion de détection. Cela affecte les environnements Windows, Linux et VMware ESXi.
L’une des principales caractéristiques des attaques AvosLocker est le recours à des outils open source et à des tactiques de « vivre hors du pays » (LotL), ne laissant aucune trace pouvant conduire à une attribution. Des utilitaires légitimes tels que FileZilla et Rclone sont également utilisés pour l’exfiltration de données, ainsi que des outils de tunneling tels que Chisel et Ligolo.
Le commandement et le contrôle (C2) sont réalisés au moyen de Cobalt Strike et Sliver, tandis que Lazagne et Mimikatz sont utilisés pour le vol d’identifiants. Les attaques utilisent également des scripts PowerShell et Windows Batch personnalisés pour les mouvements latéraux, l’élévation des privilèges et le désarmement des logiciels de sécurité.
« Les affiliés d’AvosLocker ont téléchargé et utilisé des shells Web personnalisés pour permettre l’accès au réseau », ont noté les agences. Un autre nouveau composant est un exécutable nommé NetMonitor.exe qui se fait passer pour un outil de surveillance du réseau mais fonctionne en réalité comme un proxy inverse pour permettre aux acteurs malveillants de se connecter à l’hôte depuis l’extérieur du réseau de la victime.
La CISA et le FBI recommandent aux organisations d’infrastructures critiques de mettre en œuvre les mesures d’atténuation nécessaires pour réduire la probabilité et l’impact du ransomware AvosLocker et d’autres incidents de ransomware.
Cela inclut l’adoption de contrôles d’application, la limitation de l’utilisation de RDP et d’autres services de bureau à distance, la restriction de l’utilisation de PowerShell, l’exigence d’une authentification multifacteur résistante au phishing, la segmentation des réseaux, la mise à jour de tous les systèmes et la maintenance de sauvegardes hors ligne périodiques.
Le développement intervient alors que Mozilla averti des attaques de ransomware exploitant campagnes de publicité malveillante qui incitent les utilisateurs à installer des versions trojanisées de Thunderbird, conduisant finalement au déploiement de logiciels malveillants de cryptage de fichiers et de familles de logiciels malveillants courants tels que IcedID.
Les attaques de ransomwares ont connu une forte augmentation en 2023, même si les acteurs de la menace s’efforcent rapidement de déployer des ransomwares dans la journée suivant l’accès initial dans plus de 50 % des engagements, selon Secureworks, en baisse par rapport au temps d’attente médian précédent de 4,5 jours en 2022. .
De plus, dans plus de 10 % des incidents, le ransomware a été déployé dans les cinq heures.
« La réduction du temps d’attente médian est probablement due au désir des cybercriminels de réduire leurs chances de détection », a déclaré Don Smith, vice-président du renseignement sur les menaces chez Secureworks Counter Threat Unit. dit.
« En conséquence, les auteurs de menaces se concentrent sur des opérations plus simples et plus rapides à mettre en œuvre, plutôt que sur de grands événements de chiffrement multisites à l’échelle de l’entreprise, qui sont nettement plus complexes. Mais le risque lié à ces attaques reste élevé.
L’exploitation d’applications publiques, le vol d’identifiants, les logiciels malveillants disponibles dans le commerce et les services distants externes sont devenus les trois principaux vecteurs d’accès initial pour les attaques de ransomwares.
Pour mettre du sel sur la plaie, le modèle RaaS et la disponibilité immédiate de codes de ransomware divulgués ont abaissé les barrières à l’entrée, même pour les criminels novices, ce qui en fait une voie lucrative pour réaliser des profits illicites.
« Même si nous considérons toujours des noms familiers comme les acteurs de la menace les plus actifs, l’émergence de plusieurs nouveaux groupes de menace très actifs alimente une augmentation significative du nombre de victimes et de fuites de données », a ajouté Smith. « Malgré des arrestations et des sanctions très médiatisées, les cybercriminels sont passés maîtres dans l’art de s’adapter, et la menace continue donc de s’accélérer. »
Microsoft, dans son rapport annuel sur la défense numérique, a déclaré que 70 % des organisations confrontées à des ransomwares opérés par des humains comptaient moins de 500 employés et que 80 à 90 % de toutes les compromissions provenaient d’appareils non gérés.
Les données de télémétrie recueillies par la société montrent que les attaques de ransomwares déclenchées par des humains ont augmenté de plus de 200 % depuis septembre 2022. Magniber, LockBit, Hive et BlackCat représentaient près de 65 % de toutes les rencontres de ransomwares.
De plus, environ 16 % des récentes attaques réussies de ransomwares menées par des humains impliquaient à la fois le chiffrement et l’exfiltration, tandis que 13 % utilisaient uniquement l’exfiltration.
« Les opérateurs de ransomware exploitent également de plus en plus les vulnérabilités de logiciels moins courants, ce qui rend plus difficile la prévision et la défense contre leurs attaques », a déclaré le géant de la technologie. « Cela renforce l’importance d’une approche globale en matière de sécurité. »
Redmond a déclaré avoir également observé une « forte augmentation » de l’utilisation du cryptage à distance lors d’attaques de ransomwares opérées par des humains, représentant 60 % en moyenne au cours de l’année écoulée.
« Au lieu de déployer des fichiers malveillants sur l’appareil victime, le chiffrement est effectué à distance, le processus système effectuant le chiffrement, ce qui rend la correction basée sur le processus inefficace », a expliqué Microsoft. « C’est le signe que les attaquants évoluent pour minimiser davantage leur empreinte. »