Le gouvernement américain a mis à jour la liste des outils utilisés par les affiliés du ransomware AvosLocker dans les attaques pour inclure des utilitaires open source ainsi que des PowerShell personnalisés et des scripts batch.

Dans un avis conjoint sur la cybersécurité, le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) partagent également une règle YARA pour détecter les logiciels malveillants sous le couvert d’un outil légitime de surveillance du réseau.

Mixage dans des logiciels open source et légitimes

Les affiliés du ransomware AvosLocker sont connus pour utiliser des logiciels légitimes et du code open source pour l’administration du système à distance afin de compromettre et d’exfiltrer les données des réseaux d’entreprise.

Le FBI a observé les auteurs de la menace utilisant PowerShell personnalisé, des shells Web et des scripts batch pour se déplacer latéralement sur le réseau, augmenter leurs privilèges et désactiver les agents de sécurité sur les systèmes.

Dans l’avis mis à jour, les agences partagent les outils suivants comme faisant partie de l’arsenal des affiliés du ransomware AvosLocker :

• Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, outils d’administration à distance Atera Agent pour un accès par porte dérobée
• Utilitaires de tunneling réseau open source : Ligolo, Chisel
• Cadres d’émulation d’adversaires Cobalt Strike et Sliver pour le commandement et le contrôle
• Lazagne et Mimikatz pour récolter des références
• FileZilla et Rclone pour l’exfiltration de données

Les autres outils accessibles au public observés dans les attaques AvosLocker incluent Notepad++, RDP Scanner et 7zip. Des outils Windows natifs légitimes comme PsExec et Nltest ont également été vus.

Un autre composant des attaques AvosLocker est un logiciel malveillant appelé NetMonitor.exe, qui se présente comme un processus légitime et « a l’apparence d’un outil légitime de surveillance du réseau ».

Cependant, NetMonitor est un outil de persistance qui provient du réseau toutes les cinq minutes et agit comme un proxy inverse qui permet aux acteurs malveillants de se connecter à distance au réseau compromis.

En utilisant les détails de l’enquête d’un « groupe d’investigation numérique avancée », le FBI a créé la règle YARA ci-dessous pour détecter les logiciels malveillants NetMonitor sur un réseau.

rule NetMonitor 
{
  meta:
    author = "FBI"
    source = "FBI"
    sharing = "TLP:CLEAR"
    status = "RELEASED"
    description = "Yara rule to detect NetMonitor.exe"
    category = "MALWARE"
    creation_date = "2023-05-05"
  strings:
    $rc4key = {11 4b 8c dd 65 74 22 c3}
    $op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ?? 8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ?? e8}
  condition:
    uint16(0) == 0x5A4D
    and filesize 

« Les affiliés d’AvosLocker ont compromis des organisations dans plusieurs secteurs d’infrastructures critiques aux États-Unis, affectant les environnements Windows, Linux et VMware ESXi » – FBI et CISA

Défendez-vous contre le rançongiciel AvosLocker

La CISA et le FBI recommandent aux organisations de mettre en œuvre des mécanismes de contrôle des applications pour contrôler l’exécution des logiciels, y compris les programmes autorisés, ainsi que pour empêcher l’exécution de versions portables d’utilitaires non autorisés, en particulier les outils d’accès à distance.

Une partie des meilleures pratiques de défense contre les acteurs malveillants consiste à restreindre l’utilisation des services de bureau à distance, tels que RDP, en limitant le nombre de tentatives de connexion et en mettant en œuvre une authentification multifacteur (MFA) résistante au phishing.

L’application du principe des moindres privilèges fait également partie des recommandations, et les organisations devraient désactiver la ligne de commande, les scripts et l’utilisation de PowerShell pour les utilisateurs qui n’en ont pas besoin pour leur travail.

Garder les logiciels et le code à jour avec la dernière version, utiliser des mots de passe plus longs, les stocker dans un format haché et les saler si les connexions sont partagées, et segmenter le réseau, restent les recommandations constantes des experts en sécurité.

L’avis de cybersécurité actuel s’ajoute aux informations fournies dans un précédent publié à la mi-mars, qui note que certaines attaques du ransomware AvosLocker ont exploité des vulnérabilités dans les serveurs Microsoft Exchange sur site.