Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers usando ferramentas de administra√ß√£o remota para comprometer organiza√ß√Ķes com ransomware

Os cibercriminosos por tr√°s do ataque de ransomware AvosLocker empregaram uma t√°tica de infectar organiza√ß√Ķes por meio de ferramentas de administra√ß√£o remota de c√≥digo aberto.

Este método permitiu que o malware se espalhasse rapidamente, comprometendo potencialmente dados e sistemas confidenciais nas redes afetadas.

O FBI encontrou uma nova vers√£o do AvosLocker em maio de 2023 durante suas investiga√ß√Ķes.

AvosLocker Ransomware

AvosLocker √© um grupo RaaS (ransomware como servi√ßo) que surgiu em meados de 2021. Desde ent√£o, ganhou notoriedade por ataques a institui√ß√Ķes financeiras, f√°bricas vitais e edif√≠cios governamentais dos EUA, todos considerados parte da ‚Äúinfraestrutura cr√≠tica‚ÄĚ do pa√≠s.

Os membros do grupo AvosLocker infiltram-se nas redes corporativas disfarçando-se de instaladores de software genuínos ou empregando ferramentas de administração remota de sistemas disponíveis gratuitamente.

Os afiliados da AvosLocker praticam extors√£o, amea√ßando vazar ou divulgar publicamente as informa√ß√Ķes roubadas obtidas por meio da exfiltra√ß√£o de dados.

Documento

Afiliados do AvosLocker:

  • Ferramentas de administra√ß√£o remota de sistema ‚Äď Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy e Atera Agent ‚Äď ‚Äč‚Äčcomo vetores de acesso backdoor [T1133].
  • Scripts para executar nativos leg√≠timos Windows ferramentas [T1047]como PsExec e Nltest.
  • Ferramentas de tunelamento de rede de c√≥digo aberto [T1572] Ligolo[1] e cinzel[2].
  • Cobalto Strike e Sliver[3] para comando e controle (C2).
  • Lazagne e Mimikatz pela colheita de credenciais [T1555].
  • FileZilla e Rclone para exfiltra√ß√£o de dados.
  • Notepad++, scanner RDP e 7zip

O FBI desenvolveu a seguinte regra YARA para detectar a assinatura de um arquivo conhecido por ativar malware, com base em uma análise realizada por um sofisticado grupo de perícia digital.

NetMonitor.exe é um malware disfarçado de processo legítimo e tem a aparência de uma ferramenta genuína de monitoramento de rede.

N√≥s recomendamos:  10 filmes e s√©ries de TV da Netflix que ser√£o lan√ßados em junho

A rede receberá um ping deste utilitário de persistência a cada cinco minutos.

O software do NetMonitor está configurado para se comunicar com um endereço IP específico que atua como servidor de comando através da porta TCP 443.

Durante um ataque, a comunicação entre o NetMonitor e o servidor de comando fica protegida, e o NetMonitor funciona como um facilitador reverso que permite que invasores se conectem à ferramenta de fora da rede da vítima.

O FBI e a CISA sugerir que as empresas tomar medidas para proteger seus sistemas de computador contra ataques de ransomware AvosLocker. Isso ajudar√° a evitar que hackers roubem informa√ß√Ķes importantes e causem problemas.

Proteja-se contra vulnerabilidades usando o Patch Manager Plus para corrigir rapidamente mais de 850 aplicativos de terceiros. Aproveite o francoee julgamento para garantir 100% de segurança.

Table of Contents