s1053-avoslocker - RunkIntel

# AvosLocker > Tipo: **malware (ransomware)** - RaaS - S1053 - [MITRE ATT&CK](https://attack.mitre.org/software/S1053) > [!danger] Safe Mode + AnyDesk - Combinacao inedita de evasão > O AvosLocker foi o primeiro ransomware documentado a combinar reinicializacao em Windows Safe Mode (que desativa a maioria dos EDRs) com instalacao de AnyDesk configurado para operar nesse modo - garantindo acesso remoto total ao atacante enquanto as defesas da vitima estao inativas. FBI e CISA emitiram advisory conjunto atualizado em outubro de 2023. ## Visão Geral [[s1053-avoslocker|AvosLocker]] e um ransomware escrito em C++ oferecido no modelo Ransomware-as-a-Service (RaaS). Surgiu em junho de 2021 com anuncio no forum Dread (forum similar ao Reddit na dark web), recrutando afiliados e prometendo que o operador "Avos" gerenciaria diretamente as negociacoes de resgaté e a públicacao de dados exfiltrados. Os afiliados do AvosLocker comprometeram organizacoes de infraestrutura critica nos EUA e globalmente - servicos financeiros, manufatura critica e instalacoes governamentais sao os principais alvos documentados. A técnica mais caracteristica do AvosLocker e a combinacao de Safe Mode com AnyDesk: o script `love.bat` (ou `update.bat`, `lock.bat`) desabilita o Windows Defender, tenta desativar componentes de soluções EDR que operam em Safe Mode, instala o AnyDesk configurado para inicializar nesse modo, e reinicializa o sistema em Safe Mode. Com isso, o atacante mantem controle remoto completo via AnyDesk enquanto o ransomware `update.exe` e executado sem interferencia de defesas ativas. O AvosLocker suporta múltiplas plataformas: existe variante Windows (criptografa arquivos com extensao `.avos`) e variante Linux específicamente desenvolvida para VMware ESXi (`AvosLinux`), que mata VMs e cifra arquivos criticos do hipervisor. Os afiliados aceitam pagamento em Monero (preferido) ou Bitcoin com premium de 10-25%. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona Os afiliados do AvosLocker utilizam ferramentas de administracao remota legitimas como vetor de acesso e persistência: Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy e Atera Agent. Para movimentação lateral, usam scripts PowerShell e batch customizados, PsExec, e Nltest para reconhecimento de rede. Para escalacao de privilegios e coleta de credenciais, usam Lazagne e Mimikatz contra o [[t1003-001-lsass-memory|LSASS]]. Para exfiltração de dados antes da criptografia, usam FileZilla e Rclone. O NetMonitor.exe e um malware de persistência identificado pelo FBI que se mascara como ferramenta legitima de monitoramento de rede, enviando pings a cada 5 minutos para manter conectividade com o atacante. **Criptografia:** O AvosLocker utiliza AES combinado com RSA para cifrar arquivos. Cada arquivo cifrado recebe a extensao `.avos` (Windows) ou variante específica. Uma nota de resgaté e depositada com link para site `.onion` de pagamento. Em casos documentados, alguns afiliados também ameaçaram DDoS contra vitimas que se recusavam a negociar. ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial RDP / VPN / Webshell T1133 External Remote Services"] --> B["🔧 Persistência com RMM AnyDesk / Splashtop / PDQ Deploy Backdoor de acesso continuo"] B --> C["🔍 Reconhecimento Nltest / PsExec / RDP Scanner T1057 Process Discovery"] C --> D["🔑 Credenciais Lazagne + Mimikatz contra LSASS T1003.001 LSASS Dump"] D --> E["🛡 Evasão via Safe Mode love.bat - desativa EDR/AV T1562.009 Safe Mode Boot"] E --> F["📱 AnyDesk no Safe Mode Acesso remoto total com defesas inativas Ransomware update.exe executado"] F --> G["🔑 Criptografia AES+RSA Extensao .avos - site .onion T1486 Data Encrypted for Impact"] classDef access fill:#c0392b,color:#fff classDef persist fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef creds fill:#8e44ad,color:#fff classDef evade fill:#2980b9,color:#fff classDef anydesk fill:#1a5276,color:#fff classDef encrypt fill:#1e3a5f,color:#fff class A access class B persist class C recon class D creds class E evade class F anydesk class G encrypt ``` ## Timeline ```mermaid timeline title AvosLocker - Linha do Tempo 2021-06 : Primeiro aviso de recrutamento no forum Dread 2021-07 : Unit 42 documenta primeira atividade 2021-12 : Sophos revela técnica AnyDesk em Safe Mode 2022-01 : Variante Linux ESXi AvosLinux descoberta 2022-03 : FBI/CISA/FinCEN emitem advisory conjunto 2022 : Expansao global - Belgica, Canada, China, Alemanha 2023-05 : FBI documenta comprometimentos até maio de 2023 2023-10 : FBI/CISA atualizam advisory com novos IOCs e regra YARA ``` ## Técnicas Utilizadas - [[t1133-external-remote-services|T1133 - External Remote Services]] - Splashtop, AnyDesk, Atera - [[t1059-001-powershell|T1059.001 - PowerShell]] - scripts de lateral movement - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - batch scripts - [[t1505-003-web-shell|T1505.003 - Web Shell]] - acesso inicial alternativo - [[t1106-native-api|T1106 - Native API]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - AES + RSA - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-007-dynamic-api-resolution|T1027.007 - Dynamic API Resolution]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1036-008-masquerade-file-type|T1036.008 - Masquerade File Type]] - NetMonitor.exe - [[t1564-003-hidden-window|T1564.003 - Hidden Window]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1562-009-safe-mode-boot|T1562.009 - Safe Mode Boot]] - assinatura caracteristica - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - Lazagne e Mimikatz ## Detecção > [!warning] NetMonitor.exe - Backdoor de Persistência > O FBI criou uma regra YARA específica para detectar o `NetMonitor.exe` - ferramenta de persistência do AvosLocker que se disfarcha como monitor de rede legitimo. Presenca desse arquivo e indicador de comprometimento ativo. **Indicadores comportamentais:** - Scripts batch (`love.bat`, `update.bat`, `lock.bat`) modificando configuracoes de boot para Safe Mode - AnyDesk configurado para iniciar em Safe Mode via chave de registro - PDQ Deploy utilizado para executar scripts em múltiplos hosts simultaneamente - `NetMonitor.exe` enviando pings periodicos para IPs externos - comportamento beacon - Rclone ou FileZilla transferindo volumes anormais de dados para destinos externos (exfiltração pre-cifragem) - LSASS acesso por processos que nao sao LSASS.exe ou ferramentas de segurança conhecidas **Sigma recomendado:** - `proc_creation_win_bcdedit_safeboot.yml` - `registry_set_anydesk_run_safemode.yml` - `proc_creation_win_rclone_execution.yml` - YARA FBI: NetMonitor.exe signature (advisory AA23-284A) ## Relevância LATAM/Brasil O [[s1053-avoslocker|AvosLocker]] afetou organizacoes em múltiplos paises incluindo Canada, Alemanha e Espanha - geografia que inclui parceiros comerciais e subsidiarias de empresas brasileiras. A técnica de Safe Mode com AnyDesk e especialmente eficaz contra ambientes com cobertura EDR parcial - realidade comum em PMEs brasileiras e orgaos governamentais que nao renovaram contratos de segurança. A variante ESXi representa risco direto para data centers brasileiros com alta adocao de VMware em ambientes corporativos e de governo. O modelo de ameaças triple (encriptar + vazar + DDoS) torna o AvosLocker particularmente agressivo contra vitimas que hesitam em pagar. ## Referências - [MITRE ATT&CK - S1053](https://attack.mitre.org/software/S1053) - [FBI/CISA Advisory AA23-284A - AvosLocker Updaté 2023](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a) - [Sophos - AvosLocker AnyDesk Safe Mode](https://www.sophos.com/en-us/press/press-releases/2021/12/avoslocker-ransomware-uses-anydesk-in-safe-mode-to-launch-attacks) - [The Register - FBI Critical Infrastructure Warning](https://www.theregister.com/2022/03/21/avoslocker-ransomware-critical-infrastructure-fbi/)