Federais: Cuidado com os ataques do AvosLocker Ransomware em infraestrutura crítica

As autoridades dos EUA emitiram um alerta esta semana sobre possíveis ataques cibernéticos contra infraestruturas críticas da operação AvosLocker de ransomware como serviço (RaaS).

In um aconselhamento conjunto de segurança, a Agência de Infraestrutura e Segurança Cibernética (CISA) e o FBI alertaram que o AvosLocker teve como alvo vários setores críticos nos EUA recentemente, em maio, usando uma ampla variedade de táticas, técnicas e procedimentos (TTPs), incluindo extorsão dupla e o uso de software nativo e de código aberto confiável.

O comunicado AvosLocker foi emitido num contexto de aumentando os ataques de ransomware em vários setores. Em um relatório publicado em 13 de outubro, a empresa de seguros cibernéticos Corvus descobriu um aumento de quase 80% nos ataques de ransomware em relação ao ano passado, bem como um aumento de mais de 5% na atividade mês a mês em setembro.

O que você precisa saber sobre o grupo AvosLocker Ransomware

AvosLocker não discrimina entre sistemas operacionais. Até agora, comprometeu o Windows, o Linux, e ambientes VMWare ESXi em organizações-alvo.

Talvez seja mais notável a quantidade de ferramentas legítimas e de código aberto que usa para comprometer as vítimas. Esses incluem RMMs como AnyDesk para acesso remoto, Chisel para tunelamento de rede, Cobalt Strike para comando e controle (C2), Mimikatz para roubo de credenciais e o arquivador de arquivos 7zip, entre muitos mais.

O grupo também gosta de usar táticas de Living-off-the-land (LotL), fazendo uso de ferramentas e funções nativas do Windows, como Notepad++, PsExec e Nltest, para realizar ações em hosts remotos.

O FBI também observou afiliados do AvosLocker usando shells da Web personalizados para permitir o acesso à rede e executando scripts PowerShell e bash para movimentação lateral, escalonamento de privilégios e desativação de software antivírus. E apenas algumas semanas atrás, a agência alertou que hackers estão mergulhando duas vezes: usando AvosLocker e outras variedades de ransomware em conjunto para entorpecer suas vítimas.

Após o comprometimento, o AvosLocker bloqueia e exfiltra arquivos para permitir a extorsão subsequente, caso a vítima não seja nada cooperativa.

“Para ser honesto, é tudo igual ao que temos visto no último ano”, diz Ryan Bell, gerente de inteligência de ameaças da Corvus, sobre os TTPs do AvosLocker e de outros grupos RaaS. “Mas eles estão se tornando mais mortalmente eficientes. Com o tempo, eles estão ficando melhores, mais rápidos e mais rápidos.”

O que as empresas podem fazer para se proteger contra ransomware

Para se proteger contra o AvosLocker e seus semelhantes, a CISA forneceu uma longa lista de maneiras pelas quais os provedores de infraestrutura crítica podem se proteger, incluindo a implementação de práticas recomendadas de segurança cibernética padrão – como segmentação de rede, autenticação multifator e planos de recuperação. A CISA adicionou restrições mais específicas, como limitar ou desabilitar serviços de área de trabalho remota, serviços de compartilhamento de arquivos e impressoras e atividades e permissões de linha de comando e script.

As organizações seriam inteligentes em agir agora, pois grupos de ransomware só se tornarão mais prolíficos nos meses por vir.

“Normalmente, os grupos de ransomware tiram algumas férias de verão. Esquecemos que eles também são pessoas”, diz Bell, citando números de ransomware abaixo da média nos últimos meses. O aumento de 5.12% em setembro nos ataques cibernéticos de ransomware, diz ele, é o canário na mina de carvão.

“Eles aumentarão os ataques durante o quarto trimestre. Geralmente é o valor mais alto que vemos ao longo do ano, como em 2022 e 2021, e vemos que isso se aplica até agora”, alerta. “As coisas estão definitivamente subindo em todos os níveis.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure