O FBI compartilha detalhes técnicos do ransomware AvosLocker, além de dicas de defesa
13 de Outubro de 2023

O governo dos EUA atualizou a lista de ferramentas que os afiliados do ransomware AvosLocker usam em ataques para incluir utilitários de código aberto, juntamente com scripts personalizados PowerShell e batch.

Em um aviso conjunto de cibersegurança, a Agência De Segurança De Infraestrutura E Cibersegurança (CISA) e o Federal Bureau of Investigation (FBI) também compartilham uma regra YARA para a detecção de malware disfarçado de uma ferramenta legítima de monitoramento de rede.

Afiliados do ransomware AvosLocker são conhecidos por usar software legítimo e código de código aberto para administração remota do sistema a fim de comprometer e exfiltrar dados das redes empresariais.

O FBI observou os atores de ameaças usando custom PowerShell, web shells e scripts batch para se mover lateralmente na rede, aumentar seus privilégios e desabilitar agentes de segurança nos sistemas.

No aviso atualizado, as agências compartilham as seguintes ferramentas como parte do arsenal dos afiliados do ransomware AvosLocker:

Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, Atera Agent remote administration tools para acesso backdoor
Utilitários de tunelamento de rede de código aberto: Ligolo, Chisel
Frameworks de emulação de adversário Cobalt Strike e Sliver para comando e controle
Lazagne e Mimikatz para colheita de credenciais
FileZilla e Rclone para exfiltração de dados

Ferramentas adicionais publicamente disponíveis observadas em ataques AvosLocker incluem Notepad++, RDP Scanner e 7zip.

Ferramentas nativas legítimas do Windows como PsExec e Nltest também foram vistas.

Outro componente de ataques AvosLocker é um malware chamado NetMonitor.exe, que se disfarça como um processo legítimo e "tem a aparência de uma ferramenta legítima de monitoramento de rede."

No entanto, o NetMonitor é uma ferramenta de persistência que sinaliza a rede a cada cinco minutos e atua como um proxy reverso que permite aos atores de ameaças conectar remotamente à rede comprometida.

Usando detalhes da investigação de “um grupo avançado de forense digital,” o FBI criou a regra YARA abaixo para detectar malware NetMonitor em uma rede.

“Os afiliados do AvosLocker comprometeram organizações em vários setores de infraestrutura crítica nos Estados Unidos, afetando ambientes do Windows, Linux e VMware ESXi” - FBI e CISA

A CISA e o FBI recomendam que as organizações implementem mecanismos de controle de aplicativos para controlar a execução de software, incluindo programas permitidos, bem como prevenir a execução de versões portáteis de utilitários não autorizados, especialmente ferramentas de acesso remoto.

Parte das melhores práticas para defender contra atores de ameaças são restrições para o uso de serviços de desktop remoto, como RDP, limitando o número de tentativas de login e implementando autenticação multifatorial resistente a phishing.

Aplicar o princípio do privilégio mínimo também faz parte das recomendações, e as organizações devem desabilitar a linha de comando, scripts e o uso de PowerShell para usuários que não precisam deles para seu trabalho.

Manter o software e o código atualizados para a última versão, usar senhas mais longas, armazená-las em formato hash e salgá-las se os logins forem compartilhados, e segmentar a rede, continuam sendo as recomendações constantes dos especialistas em segurança.

O atual aviso de cibersegurança acrescenta à informação fornecida em um anterior lançado em meados de março, que nota que alguns ataques de ransomware AvosLocker exploraram vulnerabilidades em servidores Microsoft Exchange locais.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...