Feds: pas op voor AvosLocker Ransomware-aanvallen op kritieke infrastructuur

Amerikaanse autoriteiten hebben deze week gewaarschuwd voor mogelijke cyberaanvallen op kritieke infrastructuur door ransomware-as-a-service (RaaS)-operatie AvosLocker.

In een gezamenlijk veiligheidsadviesWaarschuwden de Cybersecurity Infrastructure and Security Agency (CISA) en de FBI dat AvosLocker zich onlangs in mei op meerdere kritieke industrieën in de VS heeft gericht, met behulp van een breed scala aan tactieken, technieken en procedures (TTP’s), waaronder dubbele afpersing en het gebruik van vertrouwde native en open source software.

Het AvosLocker-advies werd uitgebracht tegen de achtergrond van toenemende ransomware-aanvallen over meerdere sectoren. In een rapport gepubliceerd op 13 oktober, constateerde cyberverzekeringsmaatschappij Corvus een toename van bijna 80% in ransomware-aanvallen ten opzichte van vorig jaar, evenals een toename van meer dan 5% in activiteit op maandbasis in september.

Wat u moet weten over de AvosLocker Ransomware-groep

AvosLocker maakt geen onderscheid tussen besturingssystemen. Tot nu toe heeft het Windows, Linux, en VMWare ESXi-omgevingen in doelgerichte organisaties.

Het is misschien het meest opmerkelijk vanwege het aantal legitieme en open source-tools dat het gebruikt om slachtoffers te compromitteren. Deze omvatten RMM's zoals AnyDesk voor externe toegang, Chisel voor netwerktunneling, Cobalt Strike voor command-and-control (C2), Mimikatz voor het stelen van inloggegevens en de bestandsarchiveraar 7zip, en nog veel meer.

De groep maakt ook graag gebruik van LotL-tactieken (living-off-the-land), waarbij gebruik wordt gemaakt van native Windows-tools en -functies zoals Notepad++, PsExec en Nltest voor het uitvoeren van acties op externe hosts.

De FBI heeft ook gezien dat AvosLocker-filialen aangepaste webshells gebruiken om netwerktoegang mogelijk te maken, en PowerShell- en bash-scripts uitvoeren voor laterale verplaatsing, escalatie van bevoegdheden en het uitschakelen van antivirussoftware. En nog maar een paar weken geleden waarschuwde het bureau daarvoor hackers hebben dubbel gedompeld: het gebruik van AvosLocker en andere ransomware-varianten om hun slachtoffers te verdoven.

Na het compromitteren vergrendelt en exfiltreert AvosLocker bestanden om vervolgafpersing mogelijk te maken, mocht het slachtoffer niet echt meewerken.

“Het is, eerlijk gezegd, allemaal hetzelfde als wat we het afgelopen jaar of zo hebben gezien”, zegt Ryan Bell, threat intelligence manager bij Corvus, over de TTP's van AvosLocker en andere RaaS-groepen. 'Maar ze worden steeds dodelijker efficiënter. In de loop van de tijd worden ze beter, sneller, sneller.”

Wat bedrijven kunnen doen om zich te beschermen tegen ransomware

Ter bescherming tegen AvosLocker en zijn soortgenoten heeft CISA een lange lijst opgesteld met manieren waarop aanbieders van kritieke infrastructuur zichzelf kunnen beschermen, inclusief het implementeren van standaard best practices op het gebied van cyberbeveiliging, zoals netwerksegmentatie, meervoudige authenticatie en herstelplannen. CISA heeft meer specifieke beperkingen toegevoegd, zoals het beperken of uitschakelen van externe desktopservices, services voor het delen van bestanden en printers, en opdrachtregel- en scriptactiviteiten en -machtigingen.

Organisaties zouden er verstandig aan doen nu actie te ondernemen ransomwaregroepen zullen alleen maar productiever worden in de komende maanden.

“Normaal gesproken nemen ransomwaregroepen een korte zomervakantie. We vergeten dat het ook mensen zijn”, zegt Bell, daarbij verwijzend naar de lager dan gemiddelde aantallen ransomware van de afgelopen maanden. De stijging van 5.12% in ransomware-cyberaanvallen in september is volgens hem de kanarie in de kolenmijn.

“Ze zullen de aanvallen in het vierde kwartaal opvoeren. Dat is meestal het hoogste niveau dat we het hele jaar door zien, zowel in 2022 als in 2021, en we zien dat dit zelfs nu nog geldt”, waarschuwt hij. “Over de hele linie gaan de zaken zeker omhoog.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure