Feds: Beware AvosLocker Ransomware Attacks On Critical Infrastructure

Taasavaldanud Platon

järgijaid: 0

USA võimud andsid sel nädalal hoiatuse lunavara-teenusena (RaaS) operatsiooni AvosLockeri võimalike küberrünnakute eest kriitilise infrastruktuuri vastu.

In ühine turvanõuandjaKüberjulgeoleku infrastruktuuri ja turvalisuse agentuur (CISA) ja FBI hoiatasid, et AvosLocker on juba maikuus võtnud sihikule mitmed kriitilised tööstusharud üle USA, kasutades laia valikut taktikaid, tehnikaid ja protseduure (TTP), sealhulgas kahekordne väljapressimine ning usaldusväärse alg- ja avatud lähtekoodiga tarkvara kasutamine.

AvosLockeri nõuanne anti välja taustal lunavararünnakute suurenemine mitmes sektoris. sisse 13. oktoobril avaldatud aruanne, leidis küberkindlustusfirma Corvus lunavararünnakute arvu ligi 80% tõusu võrreldes eelmise aastaga ning septembris enam kui 5% aktiivsuse kasvu võrreldes kuuga.

Mida peate teadma AvosLocker Ransomware Groupi kohta

AvosLocker ei tee vahet operatsioonisüsteemide vahel. Siiani on see ohustanud Windowsi, Linuxi, ja VMWare ESXi keskkonnad sihtorganisatsioonides.

See on ehk kõige tähelepanuväärsem selle poolest, kui palju legitiimseid ja avatud lähtekoodiga tööriistu see ohvrite kompromiteerimiseks kasutab. Need sisaldavad RMM-id nagu AnyDesk kaugjuurdepääsu jaoks, peitel võrgutunnelite loomiseks, Cobalt Strike käsu- ja juhtimiseks (C2), Mimikatz mandaatide varastamiseks ja failiarhiiv 7zip, paljude teiste hulgas.

Rühmale meeldib kasutada ka elu-off-the-land (LotL) taktikat, kasutades kaughostides toimingute tegemiseks Windowsi tööriistu ja funktsioone, nagu Notepad++, PsExec ja Nltest.

FBI on ka täheldanud, et AvosLockeri sidusettevõtted kasutavad võrgule juurdepääsu võimaldamiseks kohandatud veebikestasid ning PowerShelli ja bash-skripte külgsuunas liikumiseks, privileegide suurendamiseks ja viirusetõrjetarkvara keelamiseks. Ja alles paar nädalat tagasi hoiatas agentuur selle eest häkkerid on kahekordistanud: AvosLockeri ja teiste lunavaratüvede kasutamine ohvrite uimastamiseks.

Pärast kompromissi AvosLocker nii lukustab kui ka eksfiltreerib failid, et võimaldada edasist väljapressimist, kui selle ohver ei ole koostööaldis.

"Ausalt öeldes on see kõik umbes sama, mida oleme näinud umbes viimase aasta jooksul," ütleb Corvuse ohuluurejuht Ryan Bell AvosLockeri ja teiste RaaS-i gruppide TTP-de kohta. "Kuid nad muutuvad surmavalt tõhusamaks. Aja jooksul muutuvad nad paremaks, kiiremaks, kiiremaks.

Mida saavad ettevõtted lunavara eest kaitsmiseks teha

AvosLockeri ja sellega sarnaste vastu kaitsmiseks esitas CISA pika loendi viisidest, kuidas kriitilise infrastruktuuri pakkujad saavad end kaitsta, sealhulgas standardsete küberturvalisuse parimate tavade rakendamist, nagu võrgu segmenteerimine, mitmefaktoriline autentimine ja taastamisplaanid. CISA lisas spetsiifilisemad piirangud, nagu kaugtöölaua teenuste, failide ja printerite ühiskasutusteenuste ning käsurea- ja skriptimistoimingute ja -õiguste piiramine või keelamine.

Organisatsioonidel oleks tark kohe tegutseda, kuna lunavaragrupid kasvavad ainult viljakamaks järgnevatel kuudel.

"Tavaliselt võtavad lunavaragrupid veidi suvepuhkust. Me unustame, et ka nemad on inimesed, ”ütleb Bell, viidates viimaste kuude keskmisest madalamale lunavaranumbritele. Septembrikuu 5.12% suurune lunavara küberrünnakute arv on tema sõnul kanaarilind söekaevanduses.

"Nad suurendavad rünnakuid neljanda veerandi jooksul. See on tavaliselt suurim kogu aasta jooksul, nagu nii 2022. kui ka 2021. aastal, ja me näeme, et see kehtib ka praegu, " hoiatab ta. "Asjad tõusevad kindlasti kõikjal."