Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 1220 Tage inaktiv Ransomware-Gruppe · Profil

AvosLocker

70Opfer gesamt
0Opfer (30 Tage)
13.06.2021Erstes Auftreten
InaktivStatus

Überblick

AvosLocker ist die Ransomware-Nutzlast der als Ransomware-as-a-Service betriebenen Avos-Gruppe. Sie stellt ihren Partnern die Verschlüsselungssoftware bereit und teilt die Erlöse aus erfolgreichen Angriffen. Im Fokus stehen Einrichtungen des Bildungswesens, der Fertigungsindustrie und des Gesundheitssektors, wobei der Schwerpunkt der Betroffenen in den Vereinigten Staaten liegt. Die Gruppe richtet ihre Angriffe nicht allein gegen Windows-Systeme, sondern verschlüsselt auch Linux-Umgebungen sowie VMware-ESXi-Virtualisierungsplattformen und kann damit ganze Servelandschaften und virtuelle Maschinen lahmlegen. Kennzeichnend ist das breite Arsenal an legitimen Administrations- und Fernwartungswerkzeugen, das die Akteure zweckentfremden, um sich unauffällig in kompromittierten Netzwerken zu bewegen. Über einen längeren Zeitraum war die Gruppe aktiv und forderte nach der Verschlüsselung Lösegeld von zahlreichen Opfern aus unterschiedlichen Branchen und Regionen.

Taktiken & Vorgehen

Zugangsdaten werden mit LaZagne, Mimikatz und XenArmor abgegriffen. Zur Schwächung der Abwehr setzt die Gruppe den Avast-Anti-Rootkit-Treiber ein. Die Netzwerkaufklärung erfolgt über NirSoft WinLister, Nmap und SoftPerfect NetScan. Für die seitliche Bewegung dienen PsExec und WMIC, getunnelt wird mit Chisel und Ligolo. Als Command-and-Control-Infrastruktur kommen Cobalt Strike und Sliver zum Einsatz. Besonders auffällig ist der Missbrauch legitimer Fernwartungs- und Verteilwerkzeuge wie AnyDesk, Atera, PDQ Deploy, Splashtop und TacticalRMM, mit denen sich die Akteure dauerhaften Zugriff verschaffen und Schadsoftware ausrollen. Zur Datenexfiltration werden FileZilla, PSCP und RClone genutzt, ergänzt durch legitime Datei-Hosting-Dienste.

Schutzmaßnahmen

Da legitime Fernwartungswerkzeuge wie AnyDesk, Atera, Splashtop, PDQ Deploy und TacticalRMM zweckentfremdet werden, sollte deren Einsatz inventarisiert und nicht autorisierte Installationen blockiert werden. Der Avast-Anti-Rootkit-Treiber zeigt, dass das Nachladen verwundbarer Treiber durch Treiber-Sperrlisten unterbunden werden sollte. Gegen das Abgreifen von Zugangsdaten mit Mimikatz und LaZagne sollte der Speicherzugriff auf den LSASS-Prozess überwacht und eingeschränkt werden. Auffälliger Datenabfluss über RClone, FileZilla und PSCP sollte durch Überwachung ausgehender Verbindungen erkannt werden. Die Nutzung von PsExec und WMIC zur seitlichen Bewegung sollte protokolliert und auf ungewöhnliche Muster geprüft werden.

Chronologie

  1. 13.06.2021 Erste bekannte Aktivität
  2. 11.02.2023 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.