Il gruppo di ransomware AvosLocker è stato collegato ad attacchi contro settori di infrastrutture critiche negli Stati Uniti, con alcuni di essi rilevati recentemente nel maggio 2023. Questo secondo un nuovo avviso congiunto di cybersecurity rilasciato dalla U.S. Cybersecurity and Infrastructure Security Agency (CISA) e dal Federal Bureau of Investigation (FBI) che dettaglia le tattiche, tecniche e procedure (TTP) dell’operazione ransomware-as-a-service (RaaS) di AvosLocker.
Gli affiliati di AvosLocker compromettono le reti delle organizzazioni utilizzando software legittimo e strumenti di amministrazione remota open-source. Successivamente, utilizzano tattiche di estorsione basate sull’esfiltrazione con minacce di divulgazione e/o pubblicazione dei dati rubati. Il ceppo di ransomware è emerso per la prima volta a metà del 2021 e da allora ha utilizzato tecniche sofisticate per disabilitare la protezione antivirus come misura di evasione della rilevazione. Colpisce ambienti Windows, Linux e VMware ESXi.
Una caratteristica distintiva degli attacchi di AvosLocker è la dipendenza da strumenti open-source e tattiche “living-off-the-land” (LotL), non lasciando tracce che potrebbero portare all’attribuzione. Vengono utilizzati anche utility legittime come FileZilla e Rclone per l’esfiltrazione dei dati, così come strumenti di tunneling come Chisel e Ligolo.
CISA e FBI raccomandano alle organizzazioni di infrastrutture critiche di implementare le necessarie mitigazioni per ridurre la probabilità e l’impatto dei ransomware AvosLocker e altri incidenti di ransomware.
Gli attacchi di ransomware nel 2023 hanno registrato un forte aumento, con gli attori delle minacce che si muovono rapidamente per distribuire ransomware entro un giorno dall’accesso iniziale in più del 50% degli impegni. Inoltre, in più del 10% degli incidenti, il ransomware è stato distribuito entro cinque ore.
