A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) e o Federal Bureau of Investigation (FBI) emitiram um alerta conjunto sobre o aumento das atividades do grupo de ransomware AvosLocker.

Este grupo tem sido associado a ataques contra setores de infraestrutura crítica nos Estados Unidos, com alguns incidentes detectados tão recentemente quanto maio de 2023. O alerta detalha as táticas, técnicas e procedimentos (TTPs) da operação de ransomware como serviço (RaaS) do AvosLocker.

O grupo compromete redes de organizações usando software legítimo e ferramentas de administração remota de sistemas de código aberto. Uma vez dentro da rede, os afiliados do AvosLocker usam táticas de extorsão baseadas na exfiltração de dados, ameaçando vazar e/ou publicar dados roubados.

O ransomware afeta ambientes Windows, Linux e VMware ESXi. O grupo utiliza ferramentas de código aberto e táticas de “viver da terra” (LotL), o que dificulta a atribuição dos ataques.

Ferramentas legítimas como FileZilla e Rclone são usadas para exfiltração de dados, bem como ferramentas de tunelamento como Chisel e Ligolo. O controle e comando (C2) é realizado por meio de Cobalt Strike e Sliver, enquanto Lazagne e Mimikatz são usados para roubo de credenciais.

Os ataques também empregam scripts personalizados de PowerShell e Windows Batch para movimento lateral, escalonamento de privilégios e desativação de software de segurança.

As recomendações da CISA e do FBI para organizações de infraestrutura crítica incluem a adoção de controles de aplicativos, limitação do uso de RDP e outros serviços de área de trabalho remota, restrição do uso do PowerShell, exigência de autenticação multifatorial resistente a phishing, segmentação de redes, manutenção de sistemas atualizados e backups offline periódicos.