O governo dos EUA atualizou a lista de ferramentas que os afiliados do ransomware AvosLocker usam em ataques para incluir utilitários de código aberto, juntamente com scripts personalizados PowerShell e batch.
Em um aviso conjunto de cibersegurança, a Agência De Segurança De Infraestrutura E Cibersegurança (CISA) e o Federal Bureau of Investigation (FBI) também compartilham uma regra YARA para a detecção de malware disfarçado de uma ferramenta legítima de monitoramento de rede.
Afiliados do ransomware AvosLocker são conhecidos por usar software legítimo e código de código aberto para administração remota do sistema a fim de comprometer e exfiltrar dados das redes empresariais.
O FBI observou os atores de ameaças usando custom PowerShell, web shells e scripts batch para se mover lateralmente na rede, aumentar seus privilégios e desabilitar agentes de segurança nos sistemas.
No aviso atualizado, as agências compartilham as seguintes ferramentas como parte do arsenal dos afiliados do ransomware AvosLocker:
Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, Atera Agent remote administration tools para acesso backdoor
Utilitários de tunelamento de rede de código aberto: Ligolo, Chisel
Frameworks de emulação de adversário Cobalt Strike e Sliver para comando e controle
Lazagne e Mimikatz para colheita de credenciais
FileZilla e Rclone para exfiltração de dados
Ferramentas adicionais publicamente disponíveis observadas em ataques AvosLocker incluem Notepad++, RDP Scanner e 7zip.
Ferramentas nativas legítimas do Windows como PsExec e Nltest também foram vistas.
Outro componente de ataques AvosLocker é um malware chamado NetMonitor.exe, que se disfarça como um processo legítimo e "tem a aparência de uma ferramenta legítima de monitoramento de rede."
No entanto, o NetMonitor é uma ferramenta de persistência que sinaliza a rede a cada cinco minutos e atua como um proxy reverso que permite aos atores de ameaças conectar remotamente à rede comprometida.
Usando detalhes da investigação de “um grupo avançado de forense digital,” o FBI criou a regra YARA abaixo para detectar malware NetMonitor em uma rede.
“Os afiliados do AvosLocker comprometeram organizações em vários setores de infraestrutura crítica nos Estados Unidos, afetando ambientes do Windows, Linux e VMware ESXi” - FBI e CISA
A CISA e o FBI recomendam que as organizações implementem mecanismos de controle de aplicativos para controlar a execução de software, incluindo programas permitidos, bem como prevenir a execução de versões portáteis de utilitários não autorizados, especialmente ferramentas de acesso remoto.
Parte das melhores práticas para defender contra atores de ameaças são restrições para o uso de serviços de desktop remoto, como RDP, limitando o número de tentativas de login e implementando autenticação multifatorial resistente a phishing.
Aplicar o princípio do privilégio mínimo também faz parte das recomendações, e as organizações devem desabilitar a linha de comando, scripts e o uso de PowerShell para usuários que não precisam deles para seu trabalho.
Manter o software e o código atualizados para a última versão, usar senhas mais longas, armazená-las em formato hash e salgá-las se os logins forem compartilhados, e segmentar a rede, continuam sendo as recomendações constantes dos especialistas em segurança.
O atual aviso de cibersegurança acrescenta à informação fornecida em um anterior lançado em meados de março, que nota que alguns ataques de ransomware AvosLocker exploraram vulnerabilidades em servidores Microsoft Exchange locais.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...