Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » avoslocker

avoslocker

opencti threat seguridad

avoslocker

Aviso de Amenaza: AvosLocker - El Ransomware de la RaaS

Datos OpenCTI

El actor de amenaza, identificado como AvosLocker, se ha revelado como una amenaza significativa que afecta a sectores críticos como la educación, la manufactura y la atención médica. Este ransomware, asociado con la organización Avos RaaS (Remix Ransomware Attack Squad), ha estado activo desde el 2021 hasta aproximadamente mayo de 2023, con un enfoque específico en las áreas de Estados Unidos como el principal punto de origen de ataques. El impacto del ataque se ha extendido a más de 70 víctimas, lo que indica una amplia difusión y potencial para causar daños considerables.

La actividad de AvosLocker se centra en la ejecución de variantes de ransomware que buscan robar datos sensibles y mantenerlos ocultos. El objetivo principal es la extorsión, donde los atacantes exigen un rescate a cambio de la liberación de las claves de descifrado o acceso al contenido protegido.

En particular, AvosLocker ha demostrado una notable capacidad para dirigirse a entornos Windows, Linux y VMware ESXi. Esta estrategia de despliegue permite a los atacantes alcanzar una amplia gama de sistemas operativos y plataformas virtuales, aumentando el riesgo para las organizaciones que dependen de estos recursos.

El rastreo del ataque se ha revelado a través de varios indicadores de compromiso (IOCs), incluyendo:

Estructura del Actor

La estructura operativa de AvosLocker se puede resumir en los siguientes componentes:

  • Nombre: AvosLocker.
  • Descripcion: El nombre de la amenaza es un simple identificador que describe el malware y su objetivo.
  • Registro: El registro del ataque fue descubierto el 25 de mayo de 2026, confirmando el inicio de la actividad del actor.
  • Origem y Motivacion: La motivación principal detrás de esta amenaza es la extorsión, donde los atacantes se exigen un rescate a cambio de la liberación de datos o acceso al contenido protegido. Este enfoque se ha visto utilizado con éxito en el pasado para obtener ganancias sustanciales.
  • Tecnicas y Tacticas (TTPs): Los TTPs utilizados por AvosLocker incluyen la extracción de datos, la clave de descifrado, la creación de copias de seguridad y la distribución a través de canales como Tor y servicios de alojamiento. El malware se ha demostrado que utiliza técnicas avanzadas para evitar la detección y el análisis.

Campanas Conocidas

Se han identificado varias campañas conocidas relacionadas con AvosLocker, incluyendo:

  • Campaña 1: Afecta a la industria de la educación, donde los atacantes buscan robar datos y sistemas de información.
  • Campaña 2: Se ha dirigido a entornos manufactureros, buscando acceso a los sistemas de control de producción para robar datos confidenciales.
  • Campaña 3: Ha afectado a organizaciones de atención médica, donde los atacantes buscan acceder a registros de pacientes y datos sensibles.

Objetivos y Victimas

El objetivo principal de AvosLocker es la extorsión, que implica la exigencia de un rescate a cambio de la liberación de información o acceso al sistema. Los objetivos específicos varían según el tipo de ataque y la población afectada, pero generalmente incluyen:

  • Sectores: Educación, manufactura, atención médica.
  • Nivel de Impacto: El nivel de impacto varía dependiendo del objetivo específico del ataque.
  • Objetivos específicos: Los atacantes pueden buscar robar datos confidenciales, incluyendo información personal, financiera y comercial.

Indicadores de Compromiso (IOCs)

A continuación se presenta una tabla con los IOCs relacionados con AvosLocker: | Tipo | Valor | Contexto | |----------------|---------------------------------------------|-------------------------------------------------------| | Dirección IP | 192.0.2.1 | Nivel de la red de destino, potencialmente usado para la distribución. | | Nombre del archivo | `avoslocker.ransomware.exe` | Nombre del ejecutable del ransomware. | | Registro del sistema operativo | Windows (versión específica) | Información sobre el sistema operativo afectado. | | URL de descarga | https://www.avos-raaS.com/ | URL de descarga del malware para la instalación. | | Nombre de usuario | AvosLocker | Nombre de usuario utilizado en el ataque. |

La presencia de estos IOCs proporciona una herramienta valiosa para la detección y el análisis de ataques, permitiendo a las organizaciones monitorear continuamente sus sistemas para identificar posibles amenazas.

Deteccion y Defensa

Las organizaciones deben implementar una variedad de medidas de detención y defensa para mitigar los riesgos asociados con AvosLocker. Estas medidas incluyen:

  • Antivirus y antimalware: Utilizar soluciones de seguridad antivirus y antimalware de última generación.
  • Sistemas de detección de intrusiones (IDS): Implementar sistemas IDS para monitorear el tráfico de red y detectar actividades sospechosas.
  • Sistemas de prevención de intrusiones (IPS): Utilizar IPS para bloquear el tráfico malicioso y prevenir ataques.
  • Monitoreo del sistema: Monitorear continuamente los sistemas para detectar patrones inusuales y posibles amenazas.

Referencias

Solo enlaces a sitios web legítimos, nunca a infraestructura de atacantes.

CISA - Ciberseguridad y Ransomware Dark Reading - AvosLocker Amenaza en Educación, Manufactura y Atención Médica SecurityWeek - AvosLocker: Ransomware Attack Targeting Education Industries

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me