O FBI compartilha detalhes técnicos do ransomware AvosLocker, além de dicas de defesa
13 de Outubro de 2023

O governo dos EUA atualizou a lista de ferramentas que os afiliados do ransomware AvosLocker usam em ataques para incluir utilitários de código aberto, juntamente com scripts personalizados PowerShell e batch.

Em um aviso conjunto de cibersegurança, a Agência De Segurança De Infraestrutura E Cibersegurança (CISA) e o Federal Bureau of Investigation (FBI) também compartilham uma regra YARA para a detecção de malware disfarçado de uma ferramenta legítima de monitoramento de rede.

Afiliados do ransomware AvosLocker são conhecidos por usar software legítimo e código de código aberto para administração remota do sistema a fim de comprometer e exfiltrar dados das redes empresariais.

O FBI observou os atores de ameaças usando custom PowerShell, web shells e scripts batch para se mover lateralmente na rede, aumentar seus privilégios e desabilitar agentes de segurança nos sistemas.

No aviso atualizado, as agências compartilham as seguintes ferramentas como parte do arsenal dos afiliados do ransomware AvosLocker:

Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, Atera Agent remote administration tools para acesso backdoor
Utilitários de tunelamento de rede de código aberto: Ligolo, Chisel
Frameworks de emulação de adversário Cobalt Strike e Sliver para comando e controle
Lazagne e Mimikatz para colheita de credenciais
FileZilla e Rclone para exfiltração de dados

Ferramentas adicionais publicamente disponíveis observadas em ataques AvosLocker incluem Notepad++, RDP Scanner e 7zip.

Ferramentas nativas legítimas do Windows como PsExec e Nltest também foram vistas.

Outro componente de ataques AvosLocker é um malware chamado NetMonitor.exe, que se disfarça como um processo legítimo e "tem a aparência de uma ferramenta legítima de monitoramento de rede."

No entanto, o NetMonitor é uma ferramenta de persistência que sinaliza a rede a cada cinco minutos e atua como um proxy reverso que permite aos atores de ameaças conectar remotamente à rede comprometida.

Usando detalhes da investigação de “um grupo avançado de forense digital,” o FBI criou a regra YARA abaixo para detectar malware NetMonitor em uma rede.

“Os afiliados do AvosLocker comprometeram organizações em vários setores de infraestrutura crítica nos Estados Unidos, afetando ambientes do Windows, Linux e VMware ESXi” - FBI e CISA

A CISA e o FBI recomendam que as organizações implementem mecanismos de controle de aplicativos para controlar a execução de software, incluindo programas permitidos, bem como prevenir a execução de versões portáteis de utilitários não autorizados, especialmente ferramentas de acesso remoto.

Parte das melhores práticas para defender contra atores de ameaças são restrições para o uso de serviços de desktop remoto, como RDP, limitando o número de tentativas de login e implementando autenticação multifatorial resistente a phishing.

Aplicar o princípio do privilégio mínimo também faz parte das recomendações, e as organizações devem desabilitar a linha de comando, scripts e o uso de PowerShell para usuários que não precisam deles para seu trabalho.

Manter o software e o código atualizados para a última versão, usar senhas mais longas, armazená-las em formato hash e salgá-las se os logins forem compartilhados, e segmentar a rede, continuam sendo as recomendações constantes dos especialistas em segurança.

O atual aviso de cibersegurança acrescenta à informação fornecida em um anterior lançado em meados de março, que nota que alguns ataques de ransomware AvosLocker exploraram vulnerabilidades em servidores Microsoft Exchange locais.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...