Un nouveau venu dans le secteur des ransomwares en tant que service se concentre maintenant sur les infrastructures critiques aux États-Unis.
Le Federal Bureau of Investigations (FBI) des États-Unis a émis un avertissement avertissant qu’AvosLocker, une menace de ransomware en tant que service apparue pour la première fois en juillet 2021, attaque toujours les infrastructures vitales aux États-Unis.
Selon le FBI, le gang AvosLocker a ciblé des victimes dans les services financiers, la fabrication de clés et les institutions gouvernementales aux États-Unis.
L’Internet Crime Center (IC3) du FBI note qu’AvosLocker prétend gérer directement les négociations de rançon, ainsi que la publication et l’hébergement de données de victimes exfiltrées après que ses affiliés aient infecté des cibles.
L’année dernière, AvosLocker est apparu sur le marché des ransomwares, contournant intelligemment les logiciels anti-malware en tirant parti du logiciel d’administration à distance AnyDesk en mode sans échec Windows. Sur la base des communiqués de presse qu’il publie sur les forums du dark web pour effrayer les victimes et encourager les affiliés, PaloAlto Networks estime qu’AvosLocker est une entreprise férue de marketing.
« AvosLocker fournit une assistance technique aux victimes qui ont été lésées par un logiciel de cryptage qui, selon le groupe, est « infaillible », a de faibles taux de détection et peut gérer de gros fichiers », selon Palo Alto Networks.
Le groupe affirme avoir fait des ravages dans les entreprises aux États-Unis, au Royaume-Uni, aux Émirats arabes unis, en Belgique, en Espagne et au Liban, exigeant des rançons allant de 50 000 à 75 000 dollars.
Selon le FBI, les opérateurs d’AvosLocker préfèrent les paiements de rançon en Monero, une alternative populaire au Bitcoin, mais accepteront également Bitcoin à une prime de 10% à 25% par rapport au prix actuel en dollars américains. Le FBI conseille également que le groupe puisse appeler les victimes pour les pousser à faire une bonne affaire, ce qui est une action inhabituelle.
« Dans certains cas, les victimes d’AvosLocker reçoivent des appels téléphoniques d’un représentant d’AvosLocker les encourageant à se rendre sur le site de l’oignon pour négocier et menaçant de publier des données volées en ligne. Dans certains cas, les acteurs d’AvosLocker menaceront et exécuteront des attaques par déni de service distribué (DDoS) pendant les négociations », selon le FBI. Malheureusement, les attaques DDoS sont généralement disponibles, peu coûteuses et efficaces.
Le logiciel AvosLocker pour Windows est développé en C++ et fonctionne comme une application console qui suit l’activité sur les ordinateurs des victimes et permet à l’attaquant d’activer ou de désactiver à distance certaines fonctionnalités.
C’est ce qu’on appelle un système de double extorsion dans lequel les criminels prennent et chiffrent des données. Ils prennent des informations et menacent de les publier sur un site Web pour que les victimes paient. Le gang a également commencé à vendre aux enchères des fuites pour profiter de l’échec des négociations de rançon, un produit qu’ils ont volé à la célèbre organisation de ransomware REvil.
Selon le dossier du FBI, AvosLocker a été vu en train d’utiliser le kit de test de stylo Cobalt Strike, PowerShell codé, l’outil client PuTTY Secure Copy « pscp.exe », Rclone, AnyDesk, Scanner, Advanced IP Scanner et WinLister.
L’organisation utilise également les bogues CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473 Proxy Shell de juillet, ainsi que le bogue CVE-2021-26855 Microsoft Exchange Server de l’année dernière. Cependant, le FBI souligne que la façon dont les attaquants pénètrent dans le réseau d’une cible dépend de l’affilié AvosLocker qui effectue l’attaque.
L’avis du FBI fait partie des efforts du gouvernement américain, dirigé par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) du département de la Sécurité intérieure, pour exhorter toutes les organisations à tout corriger et à renforcer la cybersécurité, craignant que les pirates informatiques parrainés par l’État russe ne ciblent les organisations américaines avec des logiciels malveillants destructeurs à la suite des sanctions occidentales sur l’invasion de l’Ukraine par la Russie.