Nuova variante .avos2: un affiliato di AvosLocker estorce 85k $ a una vittima grazie a una vecchia vulnerabiltà in FortiGate VPN

.avos2
Un affiliato del gruppo ransomware AvosLocker estorce 85.000 $ in bitcoin a un’azienda grazie a una vulnerabilità nota in FortiGate VPN (CVE-2018-13379). Una vulnerabilità che la multinazionale americana aveva corretto GRAZIE A UN AGGIORNAMENTO rilasciato NEL NOVEMBRE 2019.
Chi invece non ha aggiornato i propri sistemi è una piccola azienda che opera nel campo della vendita di vernici.

A fine agosto sono proprio i server di un’azienda che opera nel campo della vendita di vernici a essere stati colpiti da un affiliato di AvosLocker. Il gruppo ransomware non ha mai reso pubblico sul proprio blog il nome della vittima.

Anche se in un passaggio della chat la vittima scrive “… bitcoin payment by end of day today, UK time”, SuspectFile.com non è in grado in questo momento di affermare con certezza assoluta che la sede dell’azienda colpita dall’attacco informatico possa risiedere all’interno del Regno Unito.

Un fatto certo però è che la vittima, a un certo punto della chat scrive:

“Hello Staff, we are working with the broker to do the bitcoin payment by end of day today, UK time”.

La conversazione fra lo “staff” di AvosLocker e la vittima è iniziata lo scorso 3 settembre e si è conclusa ieri con il pagamento del riscatto.

Un attacco informatico messo a segno, come già scritto, non direttamente da AvosLocker ma da un proprio affiliato. Come abbiamo potuto leggere nella chat la trattativa non è stata condotta direttamente da chi ha realmente attaccato i server aziendali ma da un membro dello “staff” di AvosLocker.

In alcuni passaggi della chat la vittima chiede quali siano i file ancora in loro possesso, ma il membro dello “staff” AvosLocker risponde che non ne era a conoscenza e che avrebbe chiesto al proprio affiliato. AvosLocker dice che i file erano stati scaricati su unità di archiviazione esterne, quindi non gestite direttamente da loro.

Nel primo pomeriggio del 3 settembre, dopo alcune ore passate a chattare con lo “staff”, la vittima prova a decrittare un file utilizzando il servizio messo a disposizione da AvosLocker. Ma qualcosa va storto, il file non si decritta.

E la spiegazione è semplice. Il servizio di decrittazione online presente nella pagina della chat funziona solo con la vecchia versione del ransomware, mentre in questo caso per crittare i dati è stata utilizzata la nuova versione di AvosLocker che aggiunge ai file l’estensione “.avos2”

La nuova versione ha una capacità di crittazione molto più veloce rispetto a quella utilizzata fino a poche settimane fa dai cybercriminali, una velocità pari a 400 MB/s.

Staff
Fri, 03 Sep 2021 15:17:40 GMT
Are the extensions appended to the encrypted files “.avos2”?

You
Fri, 03 Sep 2021 15:18:03 GMT
yes

[…..]

You
Fri, 03 Sep 2021 15:18:39 GMT
is there email I can send it to?

Staff
Fri, 03 Sep 2021 15:18:49 GMT
Avos2 came out recently and we can’t provide test decryptions on our website for it at the moment.

You
Fri, 03 Sep 2021 15:19:32 GMT
ok so what do we do here? you cannot contact affiliate, you cannot decrypt the files. What are we doing?

Più sotto alcuni file che, dopo alcuni tentativi andati a vuoto, la vittima ha dovuto caricare su un servizio web di terze parti (anonfiles.com), quindi esterno ad AvosLocker. L’archivio Winrar è stato poi scaricato in locale dal membro di AvosLocker e decrittato.

Staff
Fri, 03 Sep 2021 15:19:37 GMT
You can create an archive with couple files and upload them to https://share.riseup.net.

Staff
Fri, 03 Sep 2021 15:20:52 GMT
Then I can manually decrypt the files for you.
We can decrypt .avos2, however the website can’t at the moment.

You
Fri, 03 Sep 2021 15:23:20 GMT
https://share.riseup.net./[edited]

You
Fri, 03 Sep 2021 15:23:38 GMT
can you confirm it works?

Staff
Fri, 03 Sep 2021 15:24:05 GMT
You are supposed to copy the URL in your browser instead of copying the link from the download button.

Staff
Fri, 03 Sep 2021 15:37:01 GMT
Hello? The link doesn’t work

[…..]

Staff
Sat, 04 Sep 2021 09:54:08 GMT
Please test and verify that it works BEFORE sending it to me.

Staff
Sat, 04 Sep 2021 09:54:28 GMT
https://anonfiles.com/

[…..]

You
Sun, 05 Sep 2021 16:58:31 GMT
https://anonfiles.com/[edited]

Staff
Mon, 06 Sep 2021 14:15:08 GMT
We’ve downloaded the data. Please allow us some time to process it

Staff
Mon, 06 Sep 2021 14:30:44 GMT
I decrypted the PNG files. https://share.riseup.net/[edited]

Nuova variante .avos2: un affiliato di AvosLocker estorce 85k $ a una vittima grazie a una vecchia vulnerabiltà in FortiGate VPN 1

Nuova variante .avos2: un affiliato di AvosLocker estorce 85k $ a una vittima grazie a una vecchia vulnerabiltà in FortiGate VPN 2

Il 7 settembre, 4 giorni dopo che la chat era iniziata, c’è stato il primo commento da parte della persona che aveva colpito i server aziendali, l’affliato. Il tono della chat cambia, l’affiliato non ci sta a perdere del tempo.

Affiliate
Tue, 07 Sep 2021 08:44:55 GMT
Hello. We think it’s time to finalize your negotiations. Please let us know how do you wish to proceed with payment.

You
Tue, 07 Sep 2021 13:02:11 GMT
I would like to see what files you took

Affiliate
Tue, 07 Sep 2021 13:25:04 GMT
You can see the files in few days if we have to publish samples on the blog. We will not provide anything else at this stage.

You
Tue, 07 Sep 2021 13:30:37 GMT
well, if you prefer to simply be aggressive we would never be able to reach a level of trust. You are asking for a lot of money, we need to assess what data you took. Show me some list or indication that I can take to management. goodwill will go a long way.

[…..]

Staff
Tue, 07 Sep 2021 13:33:19 GMT
Your new deadline, that we both agreed on, was set on the 10th, Friday. I’ll leave the rest to the affiliate.

[…..]

Staff
Tue, 07 Sep 2021 13:38:10 GMT
I can confirm the data in question wasn’t downloaded to our storage units but the affiliate’s.

Dopo un susseguirsi di scontri verbali fra la vittima e l’affiliato e alcune risposte accomodanti da parte del membro dello staff, inizia la parte conclusiva della trattativa, la cifra del riscatto e le modalità del pagamento avvenuto in bitcoin.

Non conosciamo la cifra iniziale del riscatto, ma pensiamo che la cifra possa essere scesa di qualche centinaia di migliaia di dollari, questo perchè l’affiliato non ha mai dato alla vittima una prova concreta dei file sottratti.

A quel punto lo staff AvosLocker è intervenuto decidendo che la nuova cifra del riscatto dovesse essere di 150 mila dollari. Cifra poi scesa a 85 mila dollari dopo una trattativa che è stata portata avanti non dall’affiliato, bensì dal membro dello staff.

All’affiliato è stato invece dato il compito di fornire “il rapporto di sicurezza”, una serie di consigli alla vittima grazie ai quali, se messi in atto, serviranno a evitare in futuro di ritrovarsi in una situazione simile.

Del rapporto, due sono stati i passaggi che più hanno catturato la nostra attenzione. Di seguito possiamo capire quali siano state le falle nei sistemi IT dell’azienda che vende vernici.

Affiliate
Thu, 09 Sep 2021 15:04:38 GMT
Defend your credentials from mimikatz Limit administrator privileges to the smallest group possible. Even if you have thousands of user accounts, you should probably only have 2-5 administrator accounts […]

Affiliate
Thu, 09 Sep 2021 15:05:24 GMT
To override this default you can add the following registry dword, TokenLeakDetectDelaySecs, and set it to a recommended value of 30 seconds. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ Stop storing passwords in memory by changing the “UseLogonCredential” registry setting to ‘0’ instead of the default value of “1” and passwords are no longer available to Mimikatz […] In your specific case the critical vulnerabiliry contained Forti VPN, please update FortiVpn and monitor for updates and Windows updates. Inform your IT stuff to remove the posibility of storing user passwords within the network.

Affiliate
Thu, 09 Sep 2021 15:05:52 GMT
Also we recommend you to use SentinelAV and dattoo backup system […] Also tip for you: If you want chage Fortigate VPN to other . We dont reccomend you to use Sonic VPN,Pulse Secure, because its under massive hack

SuspectFile.com ha potuto verificare che sul portafoglio bitcoin fornito da AvosLocker la vittima ha effettuato due pagamenti, uno iniziale come prova e un secondo a saldo della cifra.

Nuova variante .avos2: un affiliato di AvosLocker estorce 85k $ a una vittima grazie a una vecchia vulnerabiltà in FortiGate VPN 3