Federalni: Uważajcie na ataki oprogramowania ransomware AvosLocker na infrastrukturę krytyczną

Władze USA wydały w tym tygodniu ostrzeżenie o potencjalnych cyberatakach na infrastrukturę krytyczną ze strony oprogramowania ransomware jako usługi (RaaS) AvosLocker.

In wspólne doradztwo dotyczące bezpieczeństwa, Agencja ds. Infrastruktury i Bezpieczeństwa Cyberbezpieczeństwa (CISA) oraz FBI ostrzegły, że jeszcze w maju AvosLocker obrał za cel wiele kluczowych branż w całych Stanach Zjednoczonych, stosując szeroką gamę taktyk, technik i procedur (TTP), w tym podwójne wymuszenie oraz korzystanie z zaufanego oprogramowania natywnego i open source.

Poradnik AvosLocker został wydany w kontekście coraz częstsze ataki oprogramowania ransomware w wielu sektorach. W raport opublikowany 13 październikafirma zajmująca się ubezpieczeniami cybernetycznymi Corvus stwierdziła we wrześniu prawie 80% wzrost liczby ataków z użyciem oprogramowania ransomware oraz ponad 5% wzrost aktywności w ujęciu miesięcznym.

Co musisz wiedzieć o grupie ransomware AvosLocker

AvosLocker nie rozróżnia systemów operacyjnych. Do tej pory zagrażał systemom Windows, Linux, i środowiska VMWare ESXi w docelowych organizacjach.

Jest to być może najbardziej godne uwagi ze względu na liczbę legalnych narzędzi typu open source, których używa do narażania ofiar. Obejmują one RMM, takie jak AnyDesk, do zdalnego dostępu, Chisel do tunelowania sieci, Cobalt Strike do dowodzenia i kontroli (C2), Mimikatz do kradzieży danych uwierzytelniających oraz archiwizator plików 7zip i wiele innych.

Grupa lubi także stosować taktykę życia poza ziemią (LotL), korzystając z natywnych narzędzi i funkcji systemu Windows, takich jak Notepad++, PsExec i Nltest, do wykonywania działań na zdalnych hostach.

FBI zaobserwowało również, że podmioty stowarzyszone AvosLocker używają niestandardowych powłok internetowych w celu umożliwienia dostępu do sieci oraz uruchamiają skrypty PowerShell i bash w celu wykonywania ruchów bocznych, eskalacji uprawnień i wyłączania oprogramowania antywirusowego. Zaledwie kilka tygodni temu agencja o tym ostrzegała hakerzy poszli na dno: używanie AvosLocker i innych odmian oprogramowania ransomware w tandemie w celu oszołomienia swoich ofiar.

Po włamaniu AvosLocker zarówno blokuje, jak i eksfiltruje pliki, aby umożliwić dalsze wymuszenia, jeśli ofiara nie będzie skłonna do współpracy.

„Szczerze mówiąc, wszystko jest takie samo, jak to, co widzieliśmy przez ostatni rok” – mówi Ryan Bell, menedżer ds. analizy zagrożeń w Corvus, o TTP AvosLocker i innych grup RaaS. „Ale stają się coraz bardziej zabójczo skuteczne. Z biegiem czasu stają się coraz lepsi, szybsi i szybsi.”

Co firmy mogą zrobić, aby chronić się przed oprogramowaniem ransomware

Aby chronić się przed AvosLockerem i mu podobnymi, CISA udostępniła długą listę sposobów ochrony dostawców infrastruktury krytycznej, w tym wdrażanie standardowych najlepszych praktyk w zakresie cyberbezpieczeństwa – takich jak segmentacja sieci, uwierzytelnianie wieloczynnikowe i plany odzyskiwania. CISA dodała bardziej szczegółowe ograniczenia, takie jak ograniczanie lub wyłączanie usług pulpitu zdalnego, usług udostępniania plików i drukarek oraz działań i uprawnień wiersza poleceń i skryptów.

Organizacje postąpiłyby mądrze, podejmując działania już teraz, ponieważ grupy ransomware będą coraz bardziej płodne w nadchodzących miesiącach.

„Zazwyczaj grupy zajmujące się oprogramowaniem ransomware spędzają trochę wakacji. Zapominamy, że to także ludzie” – mówi Bell, powołując się na niższą od średniej liczbę przypadków oprogramowania ransomware w ostatnich miesiącach. Jego zdaniem wrześniowy wzrost liczby cyberataków ransomware o 5.12% to bomba w kopalni węgla.

„W czwartej kwarcie zwiększą liczbę ataków. Jest to zazwyczaj najwyższa wartość, jaką odnotowujemy w ciągu całego roku, zarówno w latach 2022, jak i 2021, i widzimy, że utrzymuje się to nawet teraz” – ostrzega. „Sytuacja zdecydowanie nabiera tempa we wszystkich obszarach”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure