In un avviso congiunto a tema sicurezza informatica, il Federal Bureau of Investigation (FBI) e la Cybersecurity and Infrastructure Security Agency (CISA) hanno voluto allertare l’utenza statunitense (e non solo) riguardo una minaccia ransomware sempre più diffusa.
Stiamo parlando di AvosLocker, un sistema RaaS che sfrutta software legittimo e codice open source per compromettere sistemi aziendali ed esfiltrare dati dalla stesse. L’FBI ha osservato gli autori delle minacce utilizzare PowerShell, web shell e script batch personalizzati per spostarsi lateralmente sulla rete, aumentando i propri privilegi e disabilitando i sistemi di sicurezza.
Secondo gli esperti, tra i tanti strumenti adottati da AvosLocker, figurano:
- Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy e strumenti di amministrazione remota Atera Agent per l’accesso backdoor;
- Utilità di tunneling di rete open source, come Ligolo e Chisel;
- Framework di emulazione degli attacchi come Cobalt Strike e Sliver;
- Lazagne e Mimikatz per la raccolta delle credenziali;
- FileZilla e Rclone per l’esfiltrazione dei dati.
Ulteriori strumenti sono stati utilizzati durante gli attacchi AvosLocker, con software insospettabili come Notepad++, RDP Scanner e 7zip.
Un altro componente degli attacchi AvosLocker è un malware chiamato NetMonitor.exe, che si presenta come un processo legittimo e, a detta degli esperti, si presenta come uno strumento del tutto legittimo a prima vista.
Come difendersi da AvosLocker?
CISA e FBI raccomandano alle organizzazioni di implementare meccanismi di controllo delle applicazioni per monitorare l’esecuzione del software, compresi i programmi teoricamente attendibili.
Parte delle migliori pratiche per la difesa dagli autori delle minacce sono le restrizioni per l’utilizzo di servizi desktop remoti, come RDP, limitando il numero di tentativi di accesso e implementando l’autenticazione a più fattori per evitare casi di phishing.
Mantenere il software aggiornato all’ultima versione, utilizzare password più lunghe e sicure, archiviarle in un formato hash rimangono le raccomandazioni costanti degli esperti di sicurezza.
L’attuale avviso sulla sicurezza informatica si aggiunge alle informazioni fornite in un precedente pubblicato a metà marzo, in cui si rileva che alcuni attacchi ransomware AvosLocker hanno sfruttato le vulnerabilità nei server Microsoft Exchange. Non una novità, visto che giusto qualche giorno fa si sono verificati attacchi sempre in questo contesto.