Disparado alerta sobre ataques do ransomware AvosLocker

Da Redação
22/03/2022

Autoridades de vários países lançaram novo alerta sobre a ameaça aos provedores de infraestrutura crítica do grupo de ransomware AvosLocker. A operação afiliada de ransomware-as-a-service (RaaS) tem como alvo serviços financeiros, manufaturas e entidades governamentais, bem como organizações de outros setores, revela o comunicado.

Os alvos dos hackers são empresas de todo o mundo, mas a mais afetadas até agora são dos EUA, Síria, Arábia Saudita, Alemanha, Espanha, Bélgica, Turquia, Emirados Árabes Unidos, Reino Unido, Canadá, China e Taiwan.

Embora a tática da dupla extorsão seja a mais comum usada por afiliados para forçar o pagamento de resgate, alguns grupos que usam uma variante do malware adotaram uma abordagem ainda mais prática. “Em alguns casos, as vítimas do AvosLocker recebem ligações de um representante do grupo, que incentiva a vítima a ir aos sites .onion [que hospedam serviços que não são acessáveis por navegadores comuns] para negociar, sob a ameaça de postar os dados roubados online”, diz o alerta. “Em alguns casos, os operadores do AvosLocker ameaçam e executam ataques distribuídos de negação de serviço (DDoS) durante as negociações.”

Nos ataques de dupla extorsão, antes de criptografar a base de dados das vítimas, os hackers, após extraírem grande quantidade de informações confidenciais, ameaçam publicar esses dados, a menos que seja pago o resgate.

Veja isso
Cibermercenários vendem campanha de espionagem no modelo RaaS
Novo ransomware usa técnica de limpeza de arquivos 

O relatório “Indicators of Compromise Associated with AvosLocker Ransomware” foi elaborado em coautoria entre o FBI e o FinCEN (Financial Crimes Enforcement Network), um dos departamentos do Tesouro dos EUA. Como o nome do documento sugere, ele foi projetado com intuito de ajudar os defensores da rede a identificar e mitigar os IoCs (indicadores de comprometimento) que indicam um ataque do AvosLocker. No entanto, isso varia de acordo com o grupo afiliado envolvido, admite o relatório.

Os IoCs incluem mecanismos de persistência, como modificação das chaves “Run” do Registro do Windows e o uso de tarefas agendadas; exploração de ferramentas legítimas como Cobalt Strike, PowerShell, WinLister e AnyDesk; e direcionamento de servidores locais do Microsoft Exchange com explorações do Proxy Shell.

O relatório foi concluído com uma longa lista de mitigações, incluindo segmentação de rede, correção imediata, autenticação multifator e a desativação de portas não utilizadas.O AvosLocker nem sempre tem como alvo a infraestrutura crítica. Em outubro do ano passado, atingiu a confeitaria Ferrara, com sede em Chicago, pouco antes do Halloween.

Compartilhar: