Feds: Varo AvosLocker-ransomware-hyökkäyksiä kriittiseen infrastruktuuriin

Yhdysvaltain viranomaiset antoivat tällä viikolla varoituksen mahdollisista kyberhyökkäyksistä kriittistä infrastruktuuria vastaan ​​ransomware-as-a-service (RaaS) -operaation AvosLockerin avulla.

In yhteinen turvallisuusneuvonantaja, Cybersecurity Infrastructure and Security Agency (CISA) ja FBI varoittivat, että AvosLocker on kohdistanut kohteen useille kriittisille teollisuudenaloille kaikkialla Yhdysvalloissa vielä toukokuussa käyttämällä monenlaisia ​​taktiikoita, tekniikoita ja menettelyjä (TTP), mukaan lukien kaksinkertainen kiristys sekä luotettujen alkuperäisten ja avoimen lähdekoodin ohjelmistojen käyttö.

AvosLockerin neuvonta annettiin taustaa vasten lisää lunnasohjelmahyökkäyksiä useilla sektoreilla. Sisään 13. lokakuuta julkaistu raportti, kybervakuutusyhtiö Corvus havaitsi lähes 80 prosentin kasvun kiristysohjelmahyökkäysten määrässä viime vuodesta, sekä yli 5 prosentin kasvun kuukausitasolla syyskuussa.

Mitä sinun tulee tietää AvosLocker Ransomware Groupista

AvosLocker ei tee eroa käyttöjärjestelmien välillä. Se on tähän mennessä vaarantanut Windowsin, Linuxin, ja VMWare ESXi -ympäristöissä kohdejärjestöissä.

Se on ehkä merkittävintä siitä, kuinka monta laillista ja avoimen lähdekoodin työkalua se käyttää uhrien vaarantamiseen. Nämä sisältävät RMM:t, kuten AnyDesk, etäkäyttöä varten, Taltta verkkotunnelointiin, Cobalt Strike komentoon ja hallintaan (C2), Mimikatz valtuustietojen varastamiseen ja tiedostojen arkistointi 7zip, monien muiden joukossa.

Ryhmä käyttää mielellään myös Living-off-the-land (LotL) -taktiikoita hyödyntäen Windowsin alkuperäisiä työkaluja ja toimintoja, kuten Notepad++, PsExec ja Nltest toimintojen suorittamiseen etäisännillä.

FBI on myös havainnut, että AvosLockerin tytäryhtiöt käyttävät mukautettuja Web-komentotuloksia mahdollistaakseen pääsyn verkkoon ja käyttävät PowerShell- ja bash-skriptejä sivuttaisliikenteeseen, oikeuksien laajentamiseen ja virustorjuntaohjelmistojen poistamiseen käytöstä. Ja vain muutama viikko sitten virasto varoitti siitä hakkerit ovat olleet kaksinkertaisia: AvosLockerin ja muiden kiristyshaittaohjelmien käyttö yhdessä uhrien tyrmistyttämiseksi.

Kompromissin jälkeen AvosLocker sekä lukitsee että suodattaa tiedostoja mahdollistaakseen jatkokiristyksen, jos sen uhri on vähemmän kuin yhteistyöhaluinen.

"Se on rehellisesti sanottuna vähän samaa kuin mitä olemme nähneet viimeisen vuoden ajan", Corvuksen uhkien tiedustelupäällikkö Ryan Bell sanoo AvosLockerin ja muiden RaaS-ryhmien TTP:istä. "Mutta niistä on tulossa tappavampia. Ajan myötä ne paranevat, nopeammin, nopeammin."

Mitä yritykset voivat tehdä suojautuakseen kiristyshaittaohjelmilta

Suojatakseen AvosLockeria ja sen kaltaisia ​​vastaan ​​CISA tarjosi pitkän luettelon tavoista, joilla kriittisen infrastruktuurin tarjoajat voivat suojautua, mukaan lukien kyberturvallisuuden parhaiden käytäntöjen käyttöönotto – kuten verkon segmentointi, monitekijätodennus ja palautussuunnitelmat. CISA lisäsi tarkempia rajoituksia, kuten etätyöpöytäpalvelujen, tiedostojen ja tulostimien jakamispalvelujen sekä komentorivi- ja komentosarjatoimintojen ja käyttöoikeuksien rajoittamisen tai poistamisen käytöstä.

Organisaatiot olisivat fiksuja ryhtyä toimiin nyt, kuten lunnasohjelmaryhmät vain kasvavat tuotteliaammin tulevina kuukausina.

”Yleensä kiristysohjelmaryhmät viettävät pienen kesäloman. Unohdamme, että hekin ovat ihmisiä", Bell sanoo viitaten viime kuukausien keskimääräistä alhaisempiin kiristyshaittaohjelmiin. Hän sanoo, että syyskuun 5.12 %:n räjähdys lunnasohjelmien kyberhyökkäyksistä on kanarialintu hiilikaivoksessa.

"He lisäävät hyökkäyksiä viimeisen neljänneksen aikana. Se on yleensä korkein, mitä näemme koko vuoden aikana, kuten sekä vuonna 2022 että 2021, ja näemme sen pitävän paikkansa myös nyt”, hän varoittaa. "Asiat ovat varmasti nousussa kautta linjan."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure