Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Avos

Avos

threat-actor ciberseguridad

Avos

Avos - Análisis de Amenaza Ciberseguridad

Avos - Análisis de Amenaza Ciberseguridad

Perfil del Actor

El grupo operativo Avos se identificó en chats públicos de negociación de ransomware. El grupo es conocido por su enfoque agresivo, uso de malware personalizado y capacidad para establecer contactos directos con víctimas.

Datos de Identificación (IDN)

Tipo Valor / Descripción
IDN Avos (Grupo Operativo)
Tipo de Amenaza Ransomware / Ransomware-as-a-Service

Origen y Motivación

El grupo Avos operó principalmente entre 2018 y 2024. Se identificaron en chats públicos de negociación de ransomware distribuidos por Casualtek y Ransomch.at.

Motivaciones reportadas:

  • Pérdida financiera inmediata mediante el bloqueo de servicios críticos (telecomunicaciones, banca).
  • Negociación directa con víctimas para obtener pagos rápidos en efectivo o transferencia bancaria.

Tecnicas y Tacticas (TTPs)

Alos atacantes del grupo Avos utilizaron un enfoque táctico agresivo. Sus TTPs principales incluyen:

  • TTP 1: Ingeniería Social Extrema. Utilizan chatbots y scripts para contactar a víctimas que no tienen conocimiento de sus riesgos.
  • TTP 2: Detección Rápida y Respuesta Inmediata. Evalúan la víctima en minutos, bloquean servicios críticos (banking, telecom) y ejecutan el malware inmediatamente sin negociación técnica previa.
  • TTP 3: Malware Personalizado. No utilizan software genérico. Crean herramientas que adaptan su funcionalidad a las necesidades de cada víctima específica.

Campanas Conocidas

Campaña / Evento Tipo Descripción Técnica
Ransomchats (Casualtek) Distribución de Ransomware Lanzamiento de versiones de ransomware en chatbots y páginas web. Se reportan variantes que bloquean servicios críticos.

Objetivos y Victimas

El grupo Avos atacó principalmente a instituciones financieras, empresas de telecomunicaciones y grandes corporaciones.

  • Víctimas principales: Empresas bancares, proveedores de servicios de comunicación, gigantes tecnológicos (Apple, Amazon).

Detección y Defensa

Ales atacantes se detectan a través de firmas de malware conocidos. Los sistemas de seguridad deben detectar:

  • Firmas de malware específicamente creados por Avos.
  • Comportamientos anómalo en chats de negociación (uso de lenguaje específico, horarios de contacto).

Defensa recomendada:

  1. Auditar y actualizar firmas de malware regularmente.
  2. Habilitar monitoreo de chatbots y scripts externos en redes internas.
  3. Educación del personal para identificar señales de alerta (chatbots no reconocidos, solicitudes urgentes).

Indicadores de Compromiso (IOCs)

Tipo Valor / Descripción
Firma de Malware Avos-variant-v2.x.y (Firmas públicas)
URL Distribuidora Página web de distribución de ransomware (casualtek.org / ransomch.at)

No hay Indicadores de Compromiso públicos disponibles.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me