A mediados de julio respondimos a un incidente que involucró un ataque a un servidor de Microsoft Exchange. El actor de amenazas usó este punto de entrada para ingresar a un controlador de dominio y luego lo aprovechó como un trampolín para implementar ransomware.
Al examinar la carga útil del ransomware, notamos que era una nueva variante de la que no habíamos oído hablar antes. En este blog, echaremos un vistazo a AvosLocker, una nueva familia de ransomware sólida, pero no demasiado elegante, que ya se ha cobrado varias víctimas.
Desafortunadamente, este tipo de ataque de ransomware es demasiado común en estos días y ha causado estragos en muchas industrias. Con la desaparición del infame REvil, es posible que nuevos actores de amenazas estén buscando activamente llenar el vacío.
Avos es un ransomware relativamente nuevo, que se observó a finales de junio y principios de julio. Sus autores comenzaron a buscar afiliados a través de varios foros clandestinos. Anunciaron un reclutamiento de “pentesters con experiencia en la red de Active Directory” y “corredores de acceso”, lo que sugiere que quieren cooperar con personas que tienen acceso remoto a la infraestructura pirateada.
Ofrecen no solo el malware, sino que también ayudan en la gestión de la comunicación con la víctima y el alojamiento de los datos robados durante la operación. Pronto, algunas víctimas de este ransomware comenzaron a surgir.
AvosLocker lo ejecuta manualmente el atacante que accedió de forma remota a la máquina. Por esta razón, no intenta ser sigiloso durante su ejecución. En el modo predeterminado, funciona como una aplicación de consola que informa detalles sobre su progreso en la pantalla.
Curiosamente, la ID no se genera durante la implementación, sino que está codificada en la muestra (que podemos ver fácilmente al ver las cadenas de muestra). Esto puede significar que los distribuidores generen una muestra por víctima.
El enlace proporcionado en la nota de rescate guía al sitio web de Onion, solicitando la identificación, que también estaba en la nota:
Además de las amenazas casuales de aumentar el precio después de la fecha límite, este ransomware agrega chantaje mediante doxing. El sitio web adicional titulado “Comunicados de prensa” se proporciona para demostrar que esas no son solo amenazas vacías:
Este ransomware está destinado a ser implementado por el atacante manualmente en las máquinas pirateadas. Este propósito se refleja en el diseño. A diferencia de la mayoría de los programas maliciosos, AvosLocker viene sin ninguna capa protectora (cripter). Sin embargo, no está completamente indefenso: todas las cadenas y algunas de las API están ocultas para evadir la detección estática. Sin embargo, durante su ejecución, grita en la consola los logs de las acciones realizadas, para que el atacante pueda observar en tiempo real lo que está haciendo el programa.
En primer lugar, el malware comprueba si se le proporcionaron los argumentos opcionales de la línea de comandos. Al proporcionarlos, el atacante puede habilitar / deshabilitar algunas de las funciones.
Luego, se decodifica el nombre del mutex (“ievah8eVki3Ho4oo”) y se verifica su presencia. Se hace para evitar que el ransomware se ejecute más de una vez a la vez. Si el mutex ya existe, la ejecución termina.
Este malware puede venir con una clave pública RSA codificada del atacante. Esta clave se utilizará además para cifrar claves AES individuales, que se utilizarán para cifrar archivos. Sin embargo, la presencia de la clave pública es opcional. En caso de que no se haya proporcionado, la aplicación generará un nuevo par de claves.
Después de esta preparación, el malware procede a cifrar archivos. Dependiendo del argumento dado, puede cifrar los recursos de la red. Luego, incondicionalmente, cifra las unidades. Las operaciones de cifrado se ejecutan en nuevos subprocesos.
