AvosLocker - относительно новый вариант шифровальщиков, в котором присутствуют основные черты современного вымогателей, а именно многоуровневая схема вымогательства, которая начинается с похищенных данных.
AvosLocker - еще один вариант, работающий по модели "вымогательское ПО как услуга" (RaaS). Впервые он был замечен в июле 2021 года, и с тех пор у него появилось несколько вариантов, выпущенных со временем. Ниже перечислены основные характеристики AvosLocker:
- Он использует инструмент удаленного администрирования AnyDesk. Одной из отличительных особенностей кампаний AvosLocker является использование AnyDesk, инструмента удаленного администрирования (RAT) для подключения к машинам жертв. Используя этот инструмент, оператор может вручную управлять машиной и заражать ее.
- Он работает в безопасном режиме. Еще одним ключевым элементом AvosLocker является работа в безопасном режиме как часть тактики уклонения. Злоумышленник перезагружает машину, отключает определенные драйверы и работает в безопасном режиме, избегая тем самым определенных мер безопасности, которые не могут работать в этом режиме. Операторы также настраивали определенные драйверы, чтобы AnyDesk работал даже в безопасном режиме. Важно отметить, что подобную тактику ранее использовала ныне не существующая REvil.
- Операторы выставляют на аукцион украденные данные. AvosLocker снова взяла пример с REvil, выставив украденные данные на аукцион на своем сайте в дополнение к схеме двойного вымогательства. Это может быть способом группы дополнительно монетизировать одну успешную атаку или спасти неудачную.
Операторы AvosLocker также выпустили несколько версий этой программы-вымогателя. Тактика запуска в безопасном режиме была замечена во второй версии AvosLocker. Следуя тенденции нацеливаться на Linux-машины, AvosLocker также выпустила Linux-вариант. Этот вариант способен атаковать виртуальные машины ESXi (ВМ), что делает его вариантом, за которым следует следить.
Действующие лица AvosLocker, работающие как RaaS, проводят разведку перед каждой кампанией. Актеры выбирают цели, основываясь на их способности заплатить требуемый выкуп, и соответствующим образом адаптируют свои атаки.
Indicators of Compromise
SHA256
- 05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5
- 7731a9e1e5fff9d912b1d238dcd92c2ba671a5ea55441bb7f14b05ed40039ce1
- 794f3d25c42d383fad485f9af1d6d7c0508bcfe8ed80a1afea0e0b51bf92bc81
- a58864dd006f0528f890c9e000e660f65ffe041ebd2bcb45903fb0228321cfb2