Feds: Pass på AvosLocker Ransomware-angrep på kritisk infrastruktur

Amerikanske myndigheter utstedte en advarsel denne uken om potensielle cyberangrep mot kritisk infrastruktur fra ransomware-as-a-service (RaaS)-operasjonen AvosLocker.

In en felles sikkerhetsrådgivning, advarte Cybersecurity Infrastructure and Security Agency (CISA) og FBI at AvosLocker har rettet mot flere kritiske bransjer over hele USA så sent som i mai, ved å bruke en lang rekke taktikker, teknikker og prosedyrer (TTP), inkludert dobbel utpressing og bruk av pålitelig innebygd programvare og åpen kildekode.

AvosLocker-rådgivningen ble utstedt på bakgrunn av økende ransomware-angrep på tvers av flere sektorer. I en rapport publisert 13. okt, fant cyberforsikringsselskapet Corvus en økning på nesten 80 % i løsepengevareangrep i forhold til fjoråret, samt en økning på mer enn 5 % i aktiviteten måned-over-måned i september.

Hva du trenger å vite om AvosLocker Ransomware Group

AvosLocker diskriminerer ikke mellom operativsystemer. Det har så langt kompromittert Windows, Linux, og VMWare ESXi-miljøer i målrettede organisasjoner.

Det er kanskje mest bemerkelsesverdig for hvor mange legitime og åpen kildekode-verktøy den bruker for å kompromittere ofre. Disse inkluderer RMM-er som AnyDesk for ekstern tilgang, Meisel for nettverkstunnelering, Cobalt Strike for kommando-og-kontroll (C2), Mimikatz for å stjele legitimasjon og filarkiver 7zip, blant mange flere.

Gruppen liker også å bruke living-off-the-land (LotL) taktikk, ved å bruke native Windows-verktøy og funksjoner som Notepad++, PsExec og Nltest for å utføre handlinger på eksterne verter.

FBI har også observert AvosLocker-tilknyttede selskaper som bruker tilpassede web-skall for å muliggjøre nettverkstilgang, og kjører PowerShell- og bash-skript for sideveis bevegelse, rettighetseskalering og deaktivering av antivirusprogramvare. Og for bare noen uker siden advarte byrået om det hackere har doblet: bruker AvosLocker og andre løsepengevarestammer i tandem for å fordumme ofrene sine.

Etter kompromiss låser AvosLocker både opp og eksfiltrerer filer for å muliggjøre etterfølgende utpressing, dersom offeret ikke samarbeider.

"For å være ærlig er det omtrent det samme som det vi har sett det siste året eller så," sier Ryan Bell, trusseletterretningssjef i Corvus, om AvosLocker og andre RaaS-gruppers TTP-er. "Men de blir mer dødelige effektive. Med tiden blir de bedre, raskere, raskere.»

Hva selskaper kan gjøre for å beskytte mot løsepengeprogramvare

For å beskytte mot AvosLocker og dets lignende, ga CISA en lang liste over måter kritiske infrastrukturleverandører kan beskytte seg på, inkludert implementering av standard beste praksis for cybersikkerhet – som nettverkssegmentering, multifaktorautentisering og gjenopprettingsplaner. CISA la til mer spesifikke begrensninger, som å begrense eller deaktivere eksterne skrivebordstjenester, fil- og skriverdelingstjenester og kommandolinje- og skriptaktiviteter og tillatelser.

Organisasjoner ville være smarte å ta grep nå, som løsepengevaregrupper vil bare bli mer produktive i de kommende månedene.

"Vanligvis tar løsepengevaregrupper litt sommerferie. Vi glemmer at de også er mennesker, sier Bell, og siterer lavere enn gjennomsnittet løsepengevaretall de siste månedene. Septembers 5.12 % støt i cyberangrep med løsepenger, sier han, er kanarifuglen i kullgruven.

"De vil øke angrepene gjennom fjerde kvartal. Det er vanligvis det høyeste vi ser gjennom hele året, som i både 2022 og 2021, og vi ser at det stemmer selv nå, advarer han. "Ting klatrer definitivt opp over hele linja."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure