Fed: Hãy cẩn thận với các cuộc tấn công ransomware của AvosLocker vào cơ sở hạ tầng quan trọng

Fed: Hãy cẩn thận với các cuộc tấn công ransomware của AvosLocker vào cơ sở hạ tầng quan trọng

Dấu thời gian: 13:2023 chiều ngày 4 tháng 25 năm XNUMX
Nút nguồn: 2934065

Chính quyền Hoa Kỳ đã đưa ra cảnh báo trong tuần này về các cuộc tấn công mạng tiềm ẩn nhằm vào cơ sở hạ tầng quan trọng từ hoạt động ransomware-as-a-service (RaaS) AvosLocker.

In tư vấn an ninh chung, Cơ quan An ninh và Cơ sở hạ tầng An ninh mạng (CISA) và FBI đã cảnh báo rằng AvosLocker đã nhắm mục tiêu vào nhiều ngành công nghiệp quan trọng trên khắp Hoa Kỳ trong thời gian gần đây vào tháng XNUMX, sử dụng nhiều chiến thuật, kỹ thuật và quy trình (TTP), bao gồm tống tiền gấp đôi và việc sử dụng phần mềm nguồn mở và gốc đáng tin cậy.

Lời khuyên của AvosLocker được đưa ra trong bối cảnh gia tăng các cuộc tấn công ransomware trên nhiều lĩnh vực. TRONG một báo cáo được công bố ngày 13 tháng XNUMX, công ty bảo hiểm mạng Corvus nhận thấy số vụ tấn công ransomware tăng gần 80% so với năm ngoái, cũng như hoạt động tăng hơn 5% so với tháng trước trong tháng XNUMX.

Những điều bạn cần biết về nhóm ransomware AvosLocker

AvosLocker không phân biệt đối xử giữa các hệ điều hành. Cho đến nay nó đã xâm phạm Windows, Linux, và môi trường VMWare ESXi trong các tổ chức mục tiêu.

Điều đáng chú ý nhất có lẽ là số lượng công cụ nguồn mở và hợp pháp mà nó sử dụng để tấn công nạn nhân. Bao gồm các RMM như AnyDesk để truy cập từ xa, Chisel để đào hầm mạng, Cobalt Strike để ra lệnh và kiểm soát (C2), Mimikatz để đánh cắp thông tin xác thực và trình lưu trữ tệp 7zip, cùng nhiều tính năng khác.

Nhóm này cũng thích sử dụng chiến thuật live-off-the-land (LotL), sử dụng các công cụ và chức năng gốc của Windows như Notepad++, PsExec và Nltest để thực hiện các hành động trên máy chủ từ xa.

FBI cũng đã quan sát thấy các chi nhánh của AvosLocker sử dụng các Web shell tùy chỉnh để cho phép truy cập mạng, đồng thời chạy các tập lệnh PowerShell và bash để di chuyển ngang, leo thang đặc quyền và vô hiệu hóa phần mềm chống vi-rút. Và chỉ vài tuần trước, cơ quan này đã cảnh báo rằng tin tặc đã nhúng tay hai lần: sử dụng song song AvosLocker và các chủng ransomware khác để làm nạn nhân choáng váng.

Sau thỏa hiệp, AvosLocker vừa khóa vừa lọc các tập tin để có thể tiếp tục tống tiền nếu nạn nhân của nó không hợp tác.

Ryan Bell, giám đốc tình báo mối đe dọa tại Corvus, nói về TTP của AvosLocker và các nhóm RaaS khác: “Thành thật mà nói, tất cả đều giống nhau như những gì chúng ta đã thấy trong khoảng một năm qua”. “Nhưng chúng đang ngày càng trở nên hiệu quả đến chết người. Qua thời gian, chúng ngày càng tốt hơn, nhanh hơn, nhanh hơn.”

Các công ty có thể làm gì để bảo vệ chống lại ransomware

Để bảo vệ khỏi AvosLocker và các loại tương tự, CISA đã cung cấp một danh sách dài các cách mà các nhà cung cấp cơ sở hạ tầng quan trọng có thể tự bảo vệ mình, bao gồm triển khai các biện pháp thực hành tốt nhất về an ninh mạng tiêu chuẩn — như phân đoạn mạng, xác thực đa yếu tố và kế hoạch khôi phục. CISA đã bổ sung thêm các hạn chế cụ thể hơn, chẳng hạn như hạn chế hoặc vô hiệu hóa các dịch vụ máy tính để bàn từ xa, dịch vụ chia sẻ tệp và máy in cũng như các hoạt động và quyền của dòng lệnh và tập lệnh.

Các tổ chức sẽ khôn ngoan hơn khi hành động ngay bây giờ, vì Các nhóm ransomware sẽ chỉ phát triển mạnh mẽ hơn trong những tháng tới.

“Thông thường, các nhóm ransomware sẽ có một kỳ nghỉ hè ngắn ngủi. Chúng tôi quên rằng họ cũng là con người”, Bell nói, trích dẫn số lượng ransomware thấp hơn mức trung bình trong những tháng gần đây. Ông nói, mức tăng 5.12% trong các cuộc tấn công mạng bằng ransomware trong tháng XNUMX là con chim hoàng yến trong mỏ than.

“Họ sẽ gia tăng các cuộc tấn công trong quý IV. Đó thường là mức cao nhất mà chúng tôi thấy trong suốt cả năm, như trong cả năm 2022 và 2021, và chúng tôi thấy điều đó vẫn đúng ngay cả bây giờ,” ông cảnh báo. “Mọi thứ chắc chắn đang leo thang trên diện rộng.”

Dấu thời gian:

Thêm từ Đọc tối