Fed: Προσοχή στις επιθέσεις Ransomware AvosLocker σε κρίσιμες υποδομές

Οι αρχές των ΗΠΑ εξέδωσαν μια προειδοποίηση αυτή την εβδομάδα σχετικά με πιθανές επιθέσεις στον κυβερνοχώρο κατά κρίσιμων υποδομών από την επιχείρηση ransomware-as-a-service (RaaS) AvosLocker.

In μια κοινή συμβουλευτική για την ασφάλεια, η Υπηρεσία Υποδομής και Ασφάλειας Κυβερνοασφάλειας (CISA) και το FBI προειδοποίησαν ότι το AvosLocker έχει στοχεύσει πολλές κρίσιμες βιομηχανίες σε όλες τις ΗΠΑ μόλις τον Μάιο, χρησιμοποιώντας μια μεγάλη ποικιλία τακτικών, τεχνικών και διαδικασιών (TTPs), συμπεριλαμβανομένων διπλή εκβιασμός και τη χρήση αξιόπιστου εγγενούς λογισμικού και λογισμικού ανοιχτού κώδικα.

Η συμβουλή AvosLocker εκδόθηκε σε φόντο αύξηση των επιθέσεων ransomware σε πολλούς τομείς. Σε έκθεση που δημοσιεύτηκε στις 13 Οκτωβρίου, η εταιρεία κυβερνοασφάλισης Corvus διαπίστωσε αύξηση σχεδόν 80% στις επιθέσεις ransomware σε σχέση με πέρυσι, καθώς και αύξηση περισσότερο από 5% στη δραστηριότητα από μήνα σε μήνα τον Σεπτέμβριο.

Τι πρέπει να γνωρίζετε για την ομάδα AvosLocker Ransomware

Το AvosLocker δεν κάνει διακρίσεις μεταξύ λειτουργικών συστημάτων. Μέχρι στιγμής έχει θέσει σε κίνδυνο τα Windows, το Linux, και περιβάλλοντα VMWare ESXi σε στοχευμένους οργανισμούς.

Είναι ίσως πιο αξιοσημείωτο για το πόσα νόμιμα και ανοιχτού κώδικα εργαλεία χρησιμοποιεί για να θέσει σε κίνδυνο τα θύματα. Αυτά περιλαμβάνουν RMM όπως το AnyDesk για απομακρυσμένη πρόσβαση, Chisel για διοχέτευση δικτύου, Cobalt Strike για εντολή-και-έλεγχος (C2), Mimikatz για κλοπή διαπιστευτηρίων και το αρχείο αρχειοθέτησης 7zip, μεταξύ πολλών άλλων.

Στην ομάδα αρέσει επίσης να χρησιμοποιεί τακτικές «ζωής εκτός της γης» (LotL), χρησιμοποιώντας εγγενή εργαλεία και λειτουργίες των Windows όπως το Notepad++, το PsExec και το Nltest για την εκτέλεση ενεργειών σε απομακρυσμένους κεντρικούς υπολογιστές.

Το FBI παρατήρησε επίσης συνεργάτες του AvosLocker που χρησιμοποιούν προσαρμοσμένα κελύφη Ιστού για να ενεργοποιήσουν την πρόσβαση στο δίκτυο και εκτελούν σενάρια PowerShell και bash για πλευρική κίνηση, κλιμάκωση προνομίων και απενεργοποίηση λογισμικού προστασίας από ιούς. Και μόλις πριν από λίγες εβδομάδες, το πρακτορείο προειδοποίησε ότι χάκερ έχουν κάνει διπλή βύθιση: χρησιμοποιώντας το AvosLocker και άλλα στελέχη ransomware σε συνδυασμό για να παραπλανήσουν τα θύματά τους.

Μετά τον συμβιβασμό, το AvosLocker κλειδώνει και διεισδύει αρχεία προκειμένου να επιτρέψει τον επακόλουθο εκβιασμό, εάν το θύμα του είναι λιγότερο συνεργάσιμο.

«Είναι το ίδιο, για να είμαι ειλικρινής, με αυτό που βλέπουμε τον τελευταίο χρόνο», λέει ο Ryan Bell, διευθυντής πληροφοριών απειλών στην Corvus, για τα TTP του AvosLocker και άλλων ομάδων RaaS. «Αλλά γίνονται πιο θανατηφόρα αποτελεσματικά. Με τον καιρό γίνονται καλύτεροι, γρηγορότεροι, γρηγορότεροι».

Τι μπορούν να κάνουν οι εταιρείες για να προστατευτούν από ransomware

Για την προστασία από το AvosLocker και τα παρόμοια του, η CISA παρείχε μια μακρά λίστα με τρόπους με τους οποίους οι πάροχοι κρίσιμων υποδομών μπορούν να προστατευτούν, συμπεριλαμβανομένης της εφαρμογής τυπικών βέλτιστων πρακτικών ασφάλειας στον κυβερνοχώρο — όπως η τμηματοποίηση δικτύου, ο έλεγχος ταυτότητας πολλαπλών παραγόντων και τα σχέδια ανάκτησης. Η CISA πρόσθεσε πιο συγκεκριμένους περιορισμούς, όπως τον περιορισμό ή την απενεργοποίηση των υπηρεσιών απομακρυσμένης επιφάνειας εργασίας, των υπηρεσιών κοινής χρήσης αρχείων και εκτυπωτών και των δραστηριοτήτων και αδειών γραμμής εντολών και δέσμης ενεργειών.

Οι οργανισμοί θα ήταν έξυπνοι να αναλάβουν δράση τώρα, όπως Οι ομάδες ransomware θα γίνουν πιο παραγωγικές στους επόμενους μήνες.

«Συνήθως, οι ομάδες ransomware κάνουν μερικές καλοκαιρινές διακοπές. Ξεχνάμε ότι είναι και αυτοί άνθρωποι», λέει ο Bell, επικαλούμενος αριθμούς ransomware χαμηλότερους από τον μέσο όρο τους τελευταίους μήνες. Το χτύπημα 5.12% του Σεπτεμβρίου στις κυβερνοεπιθέσεις ransomware, λέει, είναι το καναρίνι στο ανθρακωρυχείο.

«Θα αυξήσουν τις επιθέσεις μέχρι το τέταρτο τρίμηνο. Αυτό είναι συνήθως το υψηλότερο που βλέπουμε καθ 'όλη τη διάρκεια του έτους, όπως και το 2022 και το 2021, και βλέπουμε ότι ισχύει ακόμη και τώρα», προειδοποιεί. «Σίγουρα τα πράγματα ανεβαίνουν παντού».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure