AvosLocker, una amenaza de ransomware como servicio que se lanzó en julio de 2021, continúa atacando la infraestructura crítica de EE. UU., advirtió la Oficina Federal de Investigaciones (FBI) de EE. UU. en un aviso.
La pandilla AvosLocker se ha centrado en víctimas en los EE. UU. dentro de los servicios financieros, la fabricación crítica y las instalaciones gubernamentales, según el FBI.
«AvosLocker afirma manejar directamente las negociaciones de rescate, así como la publicación y el alojamiento de datos de víctimas exfiltrados después de que sus afiliados infectan objetivos», informa el Centro de Delitos en Internet (IC3) del FBI.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
AvosLocker llegó a la escena del ransomware el año pasado, utilizando astutamente el software de administración remota AnyDesk en el modo seguro de Windows para eludir el software antimalware. PaloAlto Networks evaluó que AvosLocker es una operación inteligente de marketing basada en «comunicados de prensa» que publica en foros de la dark web para amenazar a las víctimas y atraer afiliados.
«AvosLocker ofrece soporte técnico para ayudar a las víctimas a recuperarse después de haber sido atacadas con un software de encriptación que, según el grupo, es «a prueba de fallas», tiene bajas tasas de detección y es capaz de manejar archivos grandes», dijo Palo Alto Networks.
La pandilla afirma haber causado estragos en organizaciones en los EE. UU., el Reino Unido, los Emiratos Árabes Unidos, Bélgica, España y el Líbano, con demandas de rescate que oscilan entre $ 50,000 y $ 75,000.
Los operadores de AvosLocker prefieren los pagos de rescate realizados en la popular alternativa de Bitcoin, Monero, pero también aceptan Bitcoin entre un 10 % y un 25 % por encima del precio actual en dólares estadounidenses, según el FBI. La agencia también advierte que, en un movimiento inusual, la pandilla podría incluso telefonear a las víctimas para presionarlas para que hagan un trato.
«En algunos casos, las víctimas de AvosLocker reciben llamadas telefónicas de un representante de AvosLocker. La persona que llama alienta a la víctima a ir al sitio de la cebolla para negociar y amenaza con publicar datos robados en línea. En algunos casos, los actores de AvosLocker amenazan y ejecutan la negación distribuida de (DDoS) durante las negociaciones», dijo el FBI. Lamentablemente, los ataques DDoS están fácilmente disponibles, son baratos y potentes.
La aplicación Windows AvosLocker está escrita en C++ y se ejecuta como una aplicación de consola que registra acciones en las máquinas de las víctimas y permite al atacante habilitar o deshabilitar de forma remota «ciertas funciones».
Es el llamado raqueta de doble extorsión, donde los atacantes roban y encriptan datos. Roban datos y amenazan con filtrar los contenidos a través de un sitio web para presionar a las víctimas para que paguen. La pandilla también comenzó a subastar filtraciones para sacar provecho de situaciones en las que falló una negociación de rescate, un producto que tomaron prestado de la notoria pandilla de ransomware REvil.
VER: Este tipo furtivo de phishing está creciendo rápidamente porque los piratas informáticos están viendo grandes días de pago.
Las herramientas de software que se ha observado que utiliza AvosLocker incluyen el kit de prueba de pluma Cobalt Strike, PowerShell codificado, la herramienta de cliente PuTTY Secure Copy «pscp.exe», Rclone, AnyDesk, Scanner, Advanced IP Scanner y WinLister, según el documento del FBI. .
El grupo también utiliza errores de Proxy Shell rastreados como CVE-2021-31207, CVE-2021-34523 y CVE-2021-34473 que se divulgaron en julio, así como el error de Microsoft Exchange Server CVE-2021-26855 del año pasado. Pero el FBI señala que exactamente cómo los atacantes violan la red de un objetivo depende de las habilidades del afiliado de AvosLocker que lleva a cabo el ataque.
El aviso del FBI es otro brazo de los esfuerzos del gobierno de los EE. UU. a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) del Departamento Nacional para instar a todas las organizaciones a reparar todo y reforzar la ciberseguridad en medio de los temores de que los piratas informáticos patrocinados por el estado ruso apunten a las organizaciones estadounidenses con malware destructivo. debido a las sanciones de Occidente contra Rusia por su invasión de Ucrania.
