Feds: Pas på AvosLocker Ransomware-angreb på kritisk infrastruktur

Feds: Pas på AvosLocker Ransomware-angreb på kritisk infrastruktur

Tidsstempel: 13. oktober 2023 kl. 4
Feds: Pas på AvosLocker Ransomware-angreb på kritisk infrastruktur PlatoBlockchain Data Intelligence. Lodret søgning. Ai.

Amerikanske myndigheder udsendte en advarsel i denne uge om potentielle cyberangreb mod kritisk infrastruktur fra ransomware-as-a-service (RaaS) operationen AvosLocker.

In en fælles sikkerhedsrådgivning, advarede Cybersecurity Infrastructure and Security Agency (CISA) og FBI, at AvosLocker så sent som i maj har rettet mod adskillige kritiske industrier på tværs af USA ved at bruge en bred vifte af taktikker, teknikker og procedurer (TTP'er), bl.a. dobbelt afpresning og brugen af ​​pålidelig indbygget og open source-software.

AvosLocker-rådgivningen blev udstedt på baggrund af stigende ransomware-angreb på tværs af flere sektorer. I en rapport offentliggjort 13. okt, fandt cyberforsikringsselskabet Corvus en stigning på næsten 80 % i ransomware-angreb i forhold til sidste år, samt en stigning på mere end 5 % i aktivitet måned-over-måned i september.

Hvad du behøver at vide om AvosLocker Ransomware Group

AvosLocker skelner ikke mellem operativsystemer. Det har indtil videre kompromitteret Windows, Linux, og VMWare ESXi-miljøer i målrettede organisationer.

Det er måske mest bemærkelsesværdigt for, hvor mange legitime og open source-værktøjer den bruger til at kompromittere ofre. Disse omfatter RMM'er som AnyDesk til fjernadgang, Mejsel til netværkstunneling, Cobalt Strike til kommando-og-kontrol (C2), Mimikatz til at stjæle legitimationsoplysninger og filarkiveringsværktøjet 7zip blandt mange flere.

Gruppen kan også godt lide at bruge living-off-the-land (LotL) taktik, ved at bruge native Windows-værktøjer og funktioner såsom Notepad++, PsExec og Nltest til at udføre handlinger på fjernværter.

FBI har også observeret AvosLocker-tilknyttede selskaber, der bruger brugerdefinerede web-skaller til at muliggøre netværksadgang og kører PowerShell- og bash-scripts til sideværts bevægelse, privilegie-eskalering og deaktivering af antivirussoftware. Og det advarede styrelsen for blot et par uger siden hackere har været dobbelt-dipping: Bruger AvosLocker og andre ransomware-stammer i tandem for at bedøve deres ofre.

Efter et kompromis låser AvosLocker både filer og eksfiltrerer dem for at muliggøre efterfølgende afpresning, hvis offeret ikke er samarbejdsvilligt.

"Det hele er lidt det samme, for at være ærlig, som det, vi har set det seneste år eller deromkring," siger Ryan Bell, trusselsefterretningschef hos Corvus, om AvosLocker og andre RaaS-gruppers TTP'er. "Men de bliver mere dødbringende effektive. Med tiden bliver de bedre, hurtigere, hurtigere."

Hvad virksomheder kan gøre for at beskytte mod ransomware

For at beskytte mod AvosLocker og dets lignende leverede CISA en lang liste over måder, hvorpå udbydere af kritiske infrastrukturer kan beskytte sig selv, herunder implementering af standard cybersikkerhed bedste praksis - såsom netværkssegmentering, multifaktorgodkendelse og genopretningsplaner. CISA tilføjede mere specifikke begrænsninger, såsom begrænsning eller deaktivering af fjernskrivebordstjenester, fil- og printerdelingstjenester og kommandolinje- og scriptaktiviteter og tilladelser.

Organisationer ville være smarte at tage affære nu, som ransomware-grupper vil kun blive mere produktive i de kommende måneder.

"Typisk tager ransomware-grupper lidt sommerferie. Vi glemmer, at de også er mennesker,” siger Bell og citerer lavere end gennemsnittet ransomware-tal i de seneste måneder. Septembers 5.12 % bump i ransomware-cyberangreb, siger han, er kanariefuglen i kulminen.

"De vil øge angrebene gennem fjerde kvartal. Det er normalt det højeste, vi ser i løbet af året, som i både 2022 og 2021, og vi ser, at det gælder allerede nu,” advarer han. "Tingene er helt sikkert på vej op over hele linjen."

Tidsstempel:

Mere fra Mørk læsning