Feds: Hüten Sie sich vor AvosLocker-Ransomware-Angriffen auf kritische Infrastrukturen

US-Behörden haben diese Woche eine Warnung vor möglichen Cyberangriffen auf kritische Infrastrukturen durch den Ransomware-as-a-Service (RaaS)-Betrieb AvosLocker herausgegeben.

In eine gemeinsame Sicherheitsberatung, warnten die Cybersecurity Infrastructure and Security Agency (CISA) und das FBI, dass AvosLocker erst im Mai mehrere kritische Branchen in den USA ins Visier genommen hat und dabei eine Vielzahl von Taktiken, Techniken und Verfahren (TTPs) eingesetzt hat, darunter doppelte Erpressung und die Verwendung vertrauenswürdiger nativer und Open-Source-Software.

Die AvosLocker-Beratung wurde vor dem Hintergrund herausgegeben zunehmende Ransomware-Angriffe über mehrere Sektoren hinweg. In ein am 13. Oktober veröffentlichter BerichtDas Cyber-Versicherungsunternehmen Corvus stellte im Vergleich zum Vorjahr einen Anstieg der Ransomware-Angriffe um fast 80 % sowie im September einen Anstieg der Aktivitäten um mehr als 5 % gegenüber dem Vormonat fest.

Was Sie über die AvosLocker Ransomware Group wissen müssen

AvosLocker unterscheidet nicht zwischen Betriebssystemen. Es hat bisher Windows, Linux, und VMWare ESXi-Umgebungen in Zielorganisationen.

Es ist vielleicht am bemerkenswertesten, wie viele legitime und Open-Source-Tools es verwendet, um Opfer zu kompromittieren. Diese beinhalten RMMs wie AnyDesk für den Fernzugriff, Chisel für Netzwerktunneling, Cobalt Strike für Command-and-Control (C2), Mimikatz für den Diebstahl von Anmeldeinformationen und der Dateiarchivierer 7zip und viele mehr.

Die Gruppe verwendet auch gerne LotL-Taktiken (Living-off-the-Land) und nutzt native Windows-Tools und -Funktionen wie Notepad++, PsExec und Nltest, um Aktionen auf Remote-Hosts durchzuführen.

Das FBI hat auch beobachtet, dass AvosLocker-Partner benutzerdefinierte Web-Shells verwenden, um den Netzwerkzugriff zu ermöglichen, und PowerShell- und Bash-Skripte für Lateral Movement, Rechteausweitung und Deaktivierung von Antivirensoftware ausführen. Und das hat die Agentur erst vor wenigen Wochen gewarnt Hacker haben einen doppelten Versuch unternommen: Sie verwenden AvosLocker und andere Ransomware-Stämme gleichzeitig, um ihre Opfer zu betäuben.

Nach der Kompromittierung sperrt und exfiltriert AvosLocker Dateien, um eine anschließende Erpressung zu ermöglichen, falls das Opfer nicht kooperativ ist.

„Um ehrlich zu sein, ist alles das Gleiche wie das, was wir im letzten Jahr gesehen haben“, sagt Ryan Bell, Threat Intelligence Manager bei Corvus, über die TTPs von AvosLocker und anderen RaaS-Gruppen. „Aber sie werden tödlich effizienter. Mit der Zeit werden sie immer besser, immer schneller.“

Was Unternehmen tun können, um sich vor Ransomware zu schützen

Zum Schutz vor AvosLocker und Co. stellte CISA eine lange Liste von Möglichkeiten zur Verfügung, mit denen sich Anbieter kritischer Infrastrukturen schützen können, einschließlich der Implementierung standardmäßiger Best Practices für die Cybersicherheit – wie Netzwerksegmentierung, Multifaktor-Authentifizierung und Wiederherstellungspläne. CISA fügte spezifischere Einschränkungen hinzu, wie z. B. die Einschränkung oder Deaktivierung von Remote-Desktop-Diensten, Datei- und Druckerfreigabediensten sowie Befehlszeilen- und Skriptaktivitäten und -berechtigungen.

Organisationen wären klug, jetzt Maßnahmen zu ergreifen Ransomware-Gruppen werden nur noch produktiver in den kommenden Monaten.

„Normalerweise machen Ransomware-Gruppen eine kleine Sommerpause. Wir vergessen, dass es sich auch um Menschen handelt“, sagt Bell und verweist auf unterdurchschnittliche Ransomware-Zahlen in den letzten Monaten. Der Anstieg der Ransomware-Cyberangriffe um 5.12 % im September sei seiner Meinung nach der Kanarienvogel im Kohlebergwerk.

„Sie werden die Angriffe im vierten Quartal verstärken. Das ist normalerweise der höchste Wert, den wir das ganze Jahr über sehen, wie sowohl 2022 als auch 2021, und wir sehen, dass das auch jetzt noch gilt“, warnt er. „Es geht auf jeden Fall auf ganzer Linie bergauf.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure