La banda de ransomware AvosLocker se ha relacionado con ataques contra sectores de infraestructuras críticas en Estados Unidos, algunos de los cuales se han detectado en mayo de 2023.
Eso es según un nuevo aviso conjunto de ciberseguridad publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) que detalla las tácticas, técnicas y procedimientos (TTP) de la operación de ransomware como servicio (RaaS).
“Los afiliados de AvosLocker comprometen las redes de las organizaciones mediante el uso de software legítimo y herramientas de administración remota de sistemas de código abierto”, dijeron las agencias. “Los afiliados de AvosLocker utilizan tácticas de extorsión de datos basadas en la exfiltración con amenazas de filtrar y/o publicar datos robados”.
La cepa de ransomware apareció por primera vez en escena a mediados de 2021 y, desde entonces, ha aprovechado técnicas sofisticadas para desactivar la protección antivirus como medida de evasión de detección. Afecta a los entornos Windows, Linux y VMware ESXi.
Un sello distintivo clave de los ataques de AvosLocker es la dependencia de herramientas de código abierto y tácticas de living-off-the-land (LotL), sin dejar rastros que puedan conducir a la atribución. También se utilizan soluciones legítimas como FileZilla y Rclone para la exfiltración de datos, así como herramientas de tunelización como Chisel y Ligolo.
El comando y control (C2) se logra por medio de Cobalt Strike y Sliver, mientras que Lazagne y Mimikatz se utilizan para el robo de credenciales. Los ataques también emplean scripts personalizados de PowerShell y Windows Batch para el movimiento lateral, la escalada de privilegios y el desarme del software de seguridad.
“Los afiliados de AvosLocker han cargado y utilizado shells web personalizados para permitir el acceso a la red”, señalaron las agencias. Otro componente nuevo es un ejecutable llamado NetMonitor.exe que se hace pasar por una herramienta de monitoreo de red, pero en realidad funciona como un proxy inverso para permitir que los actores de amenazas se conecten al host desde fuera de la red de la víctima.
CISA y el FBI recomiendan a las organizaciones de infraestructura crítica que implementen las mitigaciones necesarias para reducir la probabilidad y el impacto del ransomware AvosLocker y otros incidentes de ransomware.
Esto incluye la adopción de controles de aplicaciones, la limitación del uso de RDP y otros servicios de escritorio remoto, la restricción del uso de PowerShell, la exigencia de autenticación multifactor resistente a la suplantación de identidad (phishing), la segmentación de redes, el mantenimiento de todos los sistemas actualizados y el mantenimiento de copias de seguridad periódicas sin conexión.
El desarrollo se produce cuando Mozilla advirtió sobre los ataques de ransomware que aprovechan las campañas de publicidad maliciosa que engañan a los usuarios para que instalen versiones troyanizadas de Thunderbird, lo que en última instancia conduce al despliegue de malware de cifrado de archivos y familias de malware básico como IcedID.
Los ataques de ransomware en 2023 han experimentado un gran aumento, incluso cuando los actores de amenazas se están moviendo rápidamente para implementar ransomware dentro de un día del acceso inicial en más del 50% de las interacciones, según Secureworks, disminuyendo desde el tiempo medio de permanencia anterior de 4,5 días en 2022.
Además, en más del 10 por ciento de los incidentes, el ransomware se implementó en cinco horas.
“El impulsor de la reducción en el tiempo medio de permanencia se debe probablemente al deseo de los ciberdelincuentes de tener una menor probabilidad de detección”, dijo Don Smith, vicepresidente de inteligencia de amenazas de la Unidad de Contraamenazas de Secureworks.
“Como resultado, los actores de amenazas se están enfocando en operaciones más simples y rápidas de implementar, en lugar de grandes eventos de cifrado de múltiples sitios en toda la empresa que son significativamente más complejos. Pero el riesgo de esos ataques sigue siendo alto”.
La explotación de aplicaciones públicas, credenciales robadas, malware estándar y servicios remotos externos se han convertido en los tres mayores vectores de acceso inicial para los ataques de ransomware.
Según las últimas directrices de CISA, el protocolo de escritorio remoto (RDP), el protocolo de transferencia de archivos (FTP), TELNET, el bloque de mensajes del servidor (SMB) y la informática de red virtual (VNC) son algunas de las configuraciones erróneas y debilidades que se sabe que se han utilizado comúnmente como arma en las campañas de ransomware.
Para echar sal en la herida, el modelo RaaS y la disponibilidad inmediata del código de ransomware filtrado han reducido la barrera de entrada incluso para los delincuentes novatos, lo que lo convierte en una vía lucrativa para obtener ganancias ilícitas.
“Si bien todavía vemos nombres familiares como los actores de amenazas más activos, la aparición de varios grupos de amenazas nuevos y muy activos está impulsando un aumento significativo en las fugas de víctimas y datos”, agregó Smith. “A pesar de los derribos y sanciones de alto perfil, los ciberdelincuentes son maestros de la adaptación, por lo que la amenaza continúa ganando ritmo”.
Los datos de telemetría recopilados por la compañía muestran que los ataques de ransomware operados por humanos han aumentado más del 200 por ciento desde septiembre de 2022. Magniber, LockBit, Hive y BlackCat representaron casi el 65 por ciento de todos los encuentros de ransomware.
Además de eso, aproximadamente el 16 por ciento de los recientes ataques exitosos de ransomware operados por humanos involucraron tanto el cifrado como la exfiltración, mientras que un 13 por ciento usó solo la exfiltración.
“Los operadores de ransomware también están explotando cada vez más vulnerabilidades en software menos común, lo que hace que sea más difícil predecir y defenderse de sus ataques”, dijo el gigante tecnológico. “Esto refuerza la importancia de un enfoque holístico de la seguridad”.
Redmond dijo que también observó un “fuerte aumento” en el uso de cifrado remoto durante los ataques de ransomware operados por humanos, lo que representa un 60 por ciento en promedio durante el año pasado.
