Avos é um grupo de ransomware que foi identificado pela primeira vez em 2021 visando inicialmente máquinas Windows. Mais recentemente, uma nova variante do ransomware AvosLocker, com o nome do grupo, também tem como alvo ambientes Linux.

Bem financiado e motivado financeiramente, o Avos está ativo desde junho de 2021 e segue o modelo de ransomware-as-a-service (RaaS), um programa de afiliados para recrutar potenciais parceiros.

O anúncio do programa inclui informações sobre os recursos do ransomware e permite que os afiliados saibam que os operadores do AvosLocker estão aplicando práticas de negociação e extorsão.

O usuário “Avos” também foi observado tentando recrutar indivíduos no fórum russo XSS. Normalmente, a Avos usa campanhas de e-mail de spam como um vetor de infecção inicial para entregar ransomware.

Nesse incidente em particular, no entanto, o vetor inicial foi um servidor ESXi exposto na Internet por meio do VMWare Horizon Unified Access Gateways (UAG), que estava vulnerável à vulnerabilidade do Log4Shell.

Com um agente de ameaças altamente motivado como a Avos recrutando ativamente afiliados, esses ataques provavelmente se proliferarão no futuro.

Esses invasores estão constantemente à procura de redes vulneráveis e podem se infiltrar nelas com relativa facilidade, às vezes por vários agentes de ameaças, como visto neste caso específico.