Feds: Se upp AvosLocker Ransomware-attacker på kritisk infrastruktur

Feds: Se upp AvosLocker Ransomware-attacker på kritisk infrastruktur

Tidsstämpel: 13 oktober 2023 4:25
Källnod: 2934065

Amerikanska myndigheter utfärdade en varning denna vecka om potentiella cyberattacker mot kritisk infrastruktur från ransomware-as-a-service (RaaS)-operationen AvosLocker.

In en gemensam säkerhetsrådgivning, varnade Cybersecurity Infrastructure and Security Agency (CISA) och FBI för att AvosLocker har riktat in sig på flera kritiska industrier över hela USA så sent som i maj, med hjälp av en mängd olika taktiker, tekniker och procedurer (TTP), inklusive dubbel utpressning och användning av pålitlig inbyggd programvara och öppen källkod.

AvosLocker-rådgivningen utfärdades mot bakgrund av ökar ransomware-attacker inom flera sektorer. I en rapport publicerad 13 okt, upptäckte cyberförsäkringsbolaget Corvus en nästan 80 % ökning av ransomware-attacker jämfört med förra året, samt en mer än 5 % ökning av aktiviteten månad för månad i september.

Vad du behöver veta om AvosLocker Ransomware Group

AvosLocker gör inte åtskillnad mellan operativsystem. Det har hittills äventyrat Windows, Linux, och VMWare ESXi-miljöer i riktade organisationer.

Det är kanske mest anmärkningsvärt för hur många legitima och öppen källkod den använder för att kompromissa med offer. Dessa inkluderar RMMs som AnyDesk för fjärråtkomst, Mejsel för nätverkstunnling, Cobalt Strike för kommando-och-kontroll (C2), Mimikatz för att stjäla referenser och filarkiveraren 7zip, bland många fler.

Gruppen gillar också att använda living-off-the-land (LotL) taktik, och använder sig av inbyggda Windows-verktyg och funktioner som Notepad++, PsExec och Nltest för att utföra åtgärder på fjärrvärdar.

FBI har också observerat AvosLockers medlemsförbund som använder anpassade webbskal för att möjliggöra nätverksåtkomst och kör PowerShell- och bash-skript för sidorörelser, privilegieskalering och inaktivering av antivirusprogram. Och för bara några veckor sedan varnade byrån för det hackare har dubblerat: använder AvosLocker och andra ransomware-stammar i tandem för att bedöva sina offer.

Efter kompromissen låser AvosLocker både upp och exfiltrerar filer för att möjliggöra efterföljande utpressning, om dess offer skulle vara mindre än samarbetsvillig.

"Det är ungefär detsamma, för att vara ärlig, som det vi har sett under det senaste året eller så," säger Ryan Bell, hot intelligence manager på Corvus, om AvosLocker och andra RaaS-gruppers TTP:er. "Men de blir mer dödligt effektiva. Med tiden blir de bättre, snabbare, snabbare.”

Vad företag kan göra för att skydda mot ransomware

För att skydda mot AvosLocker och dess liknande tillhandahöll CISA en lång lista med sätt som leverantörer av kritiska infrastrukturer kan skydda sig på, inklusive implementering av standardiserade cybersäkerhetsmetoder – som nätverkssegmentering, multifaktorautentisering och återställningsplaner. CISA lade till mer specifika begränsningar, som att begränsa eller inaktivera fjärrskrivbordstjänster, fil- och skrivardelningstjänster och kommandorads- och skriptaktiviteter och behörigheter.

Organisationer skulle vara smarta att vidta åtgärder nu, som ransomware-grupper kommer bara att bli mer produktiva under de kommande månaderna.

"Typiskt tar ransomware-grupper lite sommarlov. Vi glömmer att de också är människor”, säger Bell och citerar lägre ransomware-siffror än genomsnittet under de senaste månaderna. Septembers 5.12 procentiga bult i cyberattacker med ransomware, säger han, är kanariefågeln i kolgruvan.

"De kommer att öka attackerna under det fjärde kvartalet. Det är vanligtvis det högsta vi ser under hela året, som både 2022 och 2021, och vi ser att det stämmer även nu”, varnar han. "Saker och ting klättrar definitivt uppåt över hela linjen."

Tidsstämpel:

Mer från Mörk läsning