Avos
Perfil del Actor
Avos es un actor de amenaza emergente que se ha identificado en conversaciones de negociación de ransomware. Sus actividades son principalmente enfocadas a la extracción de datos y, posteriormente, a su distribución para fines ilícitos. La fuente de este actor es Ransomch.at, una organización de seguridad especializada en el análisis de amenazas cibernéticas y el tracking de ataques. Este actor ha sido descubierto a través de un canal de comunicación que involucra la negociación de ransomware, con un enfoque en la obtención de información valiosa y la posterior distribución a actores maliciosos. La naturaleza de este actor se caracteriza por su habilidad para explotar vulnerabilidades en sistemas y aplicaciones, así como por su capacidad para realizar ataques sofisticados y coordinados, demostrando una estrategia de ataque bien definida y una persistencia en la búsqueda de oportunidades de infección.
Su comportamiento ha sido observado durante los últimos meses, lo que indica un nivel de actividad constante y una planificación estratégica a largo plazo. Se han identificado patrones específicos en sus campañas, incluyendo el uso de técnicas de phishing para la obtención de credenciales y la manipulación de redes sociales para reclutar nuevos miembros. La rapidez con la que se adapta a las nuevas vulnerabilidades, combinada con su capacidad para automatizar tareas, sugiere una organización con recursos significativos y un enfoque proactivo en la búsqueda de nuevas oportunidades.
El perfil del actor revela una intención de obtener acceso a información sensible dentro de organizaciones específicas. Se ha determinado que es capaz de realizar ataques dirigidos contra instituciones gubernamentales, empresas de tecnología y otras organizaciones clave. Su capacidad para persistir en el tiempo y el espacio, junto con su habilidad para explotar vulnerabilidades en sistemas operativos y software, lo convierte en una amenaza significativa a nivel global. La organización se mueve rápidamente entre diferentes plataformas y utiliza una variedad de técnicas de evasión para evitar la detección.
Se ha identificado un conjunto de indicadores de compromiso (IOCs) que pueden ayudar a rastrear y analizar las actividades del actor. Estos IOCs incluyen:
Tipos de Amenazas
Ataques de phishing, ransomware, ataques de fuerza bruta, exploits de vulnerabilidades.
Valores
Direcciones IP asociadas a la actividad, nombres de dominio utilizados, claves de API, hashes de datos, URLs.
Contexto
Fecha y hora del ataque, ubicación geográfica, sistema operativo afectado, tipo de software utilizado, nombre de usuario o contraseña implicado. Información sobre la infraestructura atacante a la que se dirige.
Origen y Motivación
Los datos OpenCTI, disponibles en el sitio web Ransomch.at, indican que Avos se originó como un actor de amenaza en el ámbito del análisis de ransomware. Se ha confirmado la participación en conversaciones de negociación de ransomware, lo que sugiere una motivación principal relacionada con la obtención de información valiosa y su posterior distribución para fines ilícitos. La organización parece estar enfocada en la explotación de vulnerabilidades existentes en sistemas y aplicaciones para obtener acceso a datos sensibles y facilitar su manipulación o uso malicioso. El uso de la negociación de ransomware es un indicador clave de su estrategia, indicando que está buscando una forma de obtener acceso a información valiosa a través de la manipulación y el engaño.
La actividad de Avos se ha visto reforzada por la colaboración con otros actores de amenaza. Se han detectado conexiones con grupos de hackers especializados en el desarrollo y la distribución de malware, lo que sugiere que Avos está aprovechando recursos externos para ampliar su alcance y capacidades. El objetivo principal parece ser utilizar su experiencia en el mundo del ransomware para expandir su influencia y obtener acceso a nuevas fuentes de información o oportunidades de infección.
La motivación detrás de la actividad de Avos reside principalmente en la obtención de información estratégica y el uso de ella para fines ilícitos. Se ha descubierto que la organización se dedica a la extracción de datos confidenciales, incluyendo información personal identificable (PII) y datos financieros. Su objetivo es utilizar estos datos para fines de robo de identidad, fraude o extorsión, así como para la divulgación de información sensible a terceros.
El actor Avos opera con una estrategia de ataque altamente coordinada y sofisticada. Utiliza técnicas avanzadas de evasión, incluyendo el uso de VPNs, proxies y sistemas de encriptación, para evitar la detección por parte de los investigadores de seguridad. La organización también se ha especializado en el uso de malware para infectar sistemas y aplicaciones, así como en la manipulación de redes y sistemas operativos. Su enfoque principal es la persistencia en el tiempo y el espacio, lo que le permite permanecer activa durante períodos prolongados y evadir la detección.
El análisis de los IOCs revela una serie de indicadores clave para rastrear y analizar las actividades del actor. Estos IOCs incluyen direcciones IP asociadas a ataques de phishing, nombres de dominio utilizados en campañas de ransomware, claves de API y hashes de datos que sugieren el intercambio de información sensible. El contexto de la actividad también proporciona información valiosa sobre la fecha y hora del ataque, la ubicación geográfica, el sistema operativo afectado y el tipo de software utilizado.
Tecnicas y Tacticas (TTPs)
Los TTPs de Avos se basan en una combinación de técnicas de ataque avanzadas y tácticas de evasión. La organización emplea principalmente ataques de phishing para la obtención de credenciales, que luego se utilizan para acceder a sistemas y aplicaciones. También utiliza ataques de fuerza bruta para intentar obtener acceso a contraseñas y claves de API. Los ataques de ransomware son una técnica clave utilizada por Avos, aprovechando vulnerabilidades en los sistemas operativos y las aplicaciones para instalar malware y cifrar datos.
El actor emplea técnicas de evasión avanzadas, incluyendo el uso de VPNs y proxies para ocultar su ubicación geográfica y la dirección IP. También utiliza sistemas de encriptación para proteger sus comunicaciones y transferencias de datos. El objetivo principal es evitar la detección por parte de los investigadores de seguridad.
La organización se distingue por su capacidad para automatizar tareas y utilizar herramientas de scripting para realizar ataques complejos. Esto permite a Avos ejecutar ataques de manera rápida y eficiente, sin necesidad de intervención humana directa. La automatización también facilita la adaptación a las nuevas vulnerabilidades y el uso de técnicas de evasión.
El actor utiliza una variedad de canales de comunicación para atraer y reclutar nuevos miembros, incluyendo foros de seguridad, redes sociales y grupos de hackers especializados. Se ha detectado que Avos utiliza técnicas de social engineering para manipular a las personas y obtener información confidencial. La organización también puede utilizar el phishing para engañar a los usuarios y conseguir acceso a sus cuentas. La capacidad de la organización para comunicarse con una amplia gama de personas la convierte en un actor altamente adaptable.
Además, Avos ha demostrado una habilidad notable para explotar vulnerabilidades en sistemas y aplicaciones. La organización utiliza técnicas avanzadas de explotación de vulnerabilidades, como el uso de exploits de software y el desarrollo de malware personalizado. Esta capacidad permite a Avos realizar ataques sofisticados y persistentes.
El actor se dedica a la recopilación y el análisis de información para mejorar sus tácticas y estrategias. Utiliza herramientas de inteligencia de amenazas para rastrear tendencias en el panorama de la amenaza y identificar nuevas vulnerabilidades. La organización también utiliza técnicas de aprendizaje automático para automatizar tareas de ataque y adaptar sus tácticas a las nuevas amenazas.
La organización se mueve rápidamente entre diferentes plataformas y utiliza una variedad de técnicas de evasión para evitar la detección por parte de los investigadores de seguridad. Esto incluye el uso de VPNs, proxies y sistemas de encript