Feds: היזהר מהתקפות תוכנת כופר של AvosLocker על תשתית קריטית

הרשויות בארה"ב פרסמו השבוע אזהרה על מתקפות סייבר פוטנציאליות נגד תשתית קריטית ממבצע תוכנת כופר כשירות (RaaS) AvosLocker.

In ייעוץ אבטחה משותף, סוכנות התשתית והאבטחה של סייבר (CISA) וה-FBI הזהירו כי AvosLocker התמקדה בתעשיות קריטיות מרובות ברחבי ארה"ב לאחרונה במאי, תוך שימוש במגוון רחב של טקטיקות, טכניקות ונהלים (TTPs), כולל סחיטה כפולה והשימוש בתוכנות מקוריות וקוד פתוח מהימנות.

הייעוץ של AvosLocker פורסם על רקע הגדלת התקפות כופר על פני מספר מגזרים. ב דו"ח שפורסם ב-13 באוקטובר, חברת ביטוח הסייבר Corvus מצאה עלייה של כמעט 80% במתקפות כופר לעומת השנה שעברה, וכן עלייה של יותר מ-5% בפעילות מחודש לחודש בספטמבר.

מה שאתה צריך לדעת על AvosLocker Ransomware Group

AvosLocker אינו מפלה בין מערכות הפעלה. עד כה זה פגע בווינדוס, לינוקס, וסביבות VMWare ESXi בארגונים ממוקדים.

זה אולי בולט ביותר בכמה כלים לגיטימיים וקוד פתוח הוא משתמש כדי להתפשר על קורבנות. אלו כוללים RMMs כמו AnyDesk לגישה מרחוק, אזמל למנהור רשת, Cobalt Strike לפקודה ושליטה (C2), Mimikatz לגניבת אישורים וארכיון הקבצים 7zip, בין רבים נוספים.

הקבוצה גם אוהבת להשתמש בטקטיקות לחיות מחוץ לאדמה (LotL), תוך שימוש בכלים ופונקציות מקוריות של Windows כמו Notepad++, PsExec ו-Nltest לביצוע פעולות על מארחים מרוחקים.

ה-FBI גם ראה שותפי AvosLocker שמשתמשים בקונכיות אינטרנט מותאמות אישית כדי לאפשר גישה לרשת, ומריצים סקריפטים של PowerShell ו-bash לתנועה לרוחב, הסלמה של הרשאות והשבתת תוכנת אנטי-וירוס. ורק לפני כמה שבועות, הסוכנות הזהירה את זה האקרים טבילו פעמיים: שימוש ב-AvosLocker ובזני תוכנות כופר אחרים במקביל כדי להמם את הקורבנות שלהם.

לאחר פשרה, AvosLocker גם נועל וגם מסנן קבצים על מנת לאפשר סחיטה נוספת, אם הקורבן שלו יהיה פחות משתף פעולה.

"הכל בערך אותו דבר, למען האמת, למה שראינו בשנה האחרונה בערך", אומר ריאן בל, מנהל מודיעין איומים ב-Corvus, על ה-TTPs של AvosLocker וקבוצות RaaS אחרות. "אבל הם הופכים להיות יעילים יותר. עם הזמן הם משתפרים, מהר יותר, מהר יותר".

מה חברות יכולות לעשות כדי להגן מפני תוכנות כופר

כדי להגן מפני AvosLocker ודומיו, סיפקה CISA רשימה ארוכה של דרכים שבהן ספקי תשתית קריטיים יכולים להגן על עצמם, כולל יישום שיטות עבודה מומלצות סטנדרטיות לאבטחת סייבר - כמו פילוח רשת, אימות רב-גורמי ותוכניות שחזור. CISA הוסיפה הגבלות ספציפיות יותר, כגון הגבלת או השבתה של שירותי שולחן עבודה מרוחק, שירותי שיתוף קבצים ומדפסות, ופעילויות והרשאות של שורת פקודה וסקריפט.

ארגונים יהיו חכמים לנקוט בפעולה כעת, כמו קבוצות תוכנות כופר רק יגדלו פוריות יותר בחודשים הבאים.

"בדרך כלל, קבוצות תוכנות כופר לוקחות קצת חופשת קיץ. אנחנו שוכחים שהם גם אנשים", אומר בל, ומצטט מספרים נמוכים מהממוצע של תוכנות כופר בחודשים האחרונים. העלייה של 5.12% בספטמבר במתקפות סייבר של תוכנות כופר, הוא אומר, היא הקנרית במכרה הפחם.

"הם יגבירו את ההתקפות במהלך הרבעון הרביעי. זה בדרך כלל הגבוה ביותר שאנו רואים במהלך השנה, כמו גם ב-2022 וגם ב-2021, ואנחנו רואים שזה נכון גם עכשיו", הוא מזהיר. "דברים בהחלט מטפסים על פני כל הלוח."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure