Federalci: Pazite se napadov AvosLocker Ransomware na kritično infrastrukturo

Federalci: Pazite se napadov AvosLocker Ransomware na kritično infrastrukturo

Časovni žig: 13. oktober 2023 4
Feds: Beware AvosLocker Ransomware Attacks on Critical Infrastructure PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Ameriške oblasti so ta teden izdale opozorilo o morebitnih kibernetskih napadih na kritično infrastrukturo z operacijo izsiljevalske programske opreme kot storitve (RaaS) AvosLocker.

In skupno varnostno svetovanje, Agencija za infrastrukturo in varnost kibernetske varnosti (CISA) in FBI sta opozorila, da je AvosLocker že maja ciljal na več kritičnih industrij po ZDA z uporabo najrazličnejših taktik, tehnik in postopkov (TTP), vključno z dvojno izsiljevanje in uporabo zaupanja vredne domače in odprtokodne programske opreme.

Nasvet AvosLocker je bil izdan v ozadju naraščajoči napadi izsiljevalske programske opreme v več sektorjih. notri poročilo, objavljeno 13. okt, je kibernetska zavarovalnica Corvus ugotovila skoraj 80-odstotno povečanje števila napadov z izsiljevalsko programsko opremo v primerjavi z lanskim letom, kot tudi več kot 5-odstotno povečanje aktivnosti v primerjavi z mesecem septembra.

Kaj morate vedeti o skupini AvosLocker Ransomware

AvosLocker ne razlikuje med operacijskimi sistemi. Doslej je ogrozil Windows, Linux, in okoljih VMWare ESXi v ciljnih organizacijah.

Morda je najbolj opazen po tem, koliko zakonitih in odprtokodnih orodij uporablja za ogrožanje žrtev. Tej vključujejo RMM, kot je AnyDesk za oddaljeni dostop, Chisel za omrežno tuneliranje, Cobalt Strike za ukazovanje in nadzor (C2), Mimikatz za krajo poverilnic in arhivar datotek 7zip, med mnogimi drugimi.

Skupina prav tako rada uporablja taktike življenja zunaj zemlje (LotL), pri čemer uporablja izvorna orodja in funkcije Windows, kot so Notepad++, PsExec in Nltest za izvajanje dejanj na oddaljenih gostiteljih.

FBI je opazil tudi podružnice AvosLocker, ki uporabljajo spletne lupine po meri za omogočanje dostopa do omrežja in izvajajo skripte PowerShell in bash za bočno premikanje, stopnjevanje privilegijev in onemogočanje protivirusne programske opreme. In še pred nekaj tedni je agencija opozorila, da hekerji so bili dvojni: uporaba AvosLockerja in drugih različic izsiljevalske programske opreme v tandemu za omamljanje svojih žrtev.

Po kompromisu AvosLocker tako zaklene kot eksfiltrira datoteke, da omogoči nadaljnje izsiljevanje, če žrtev ne bo sodelovala.

»Iskreno povedano, je vse nekako enako, kot smo bili priča zadnje leto ali več,« Ryan Bell, vodja obveščevalnih podatkov o grožnjah pri Corvusu, pravi o AvosLockerju in TTP-jih drugih skupin RaaS. »Vendar postajajo vse bolj smrtonosno učinkoviti. Sčasoma postajajo boljši, hitrejši, hitrejši.”

Kaj lahko podjetja storijo za zaščito pred izsiljevalsko programsko opremo

Za zaščito pred AvosLockerjem in njim podobnimi je CISA zagotovila dolg seznam načinov, kako se lahko ponudniki kritične infrastrukture zaščitijo, vključno z izvajanjem standardnih najboljših praks kibernetske varnosti – kot so segmentacija omrežja, večfaktorska avtentikacija in obnovitveni načrti. CISA je dodal bolj specifične omejitve, kot je omejevanje ali onemogočanje storitev oddaljenega namizja, storitev skupne rabe datotek in tiskalnikov ter dejavnosti in dovoljenj ukazne vrstice in skriptiranja.

Organizacije bi bilo pametno ukrepati zdaj, saj skupine izsiljevalskih programov bodo samo še bolj plodne v prihodnjih mesecih.

»Običajno si skupine izsiljevalskih programov vzamejo krajši poletni dopust. Pozabljamo, da so tudi ljudje,« pravi Bell in navaja nižje od povprečja števila izsiljevalskih programov v zadnjih mesecih. Septembrski 5.12-odstotni porast kibernetskih napadov z izsiljevalsko programsko opremo je po njegovih besedah ​​kanarček v rudniku.

»Povečali bodo napade skozi četrto četrtletje. To je običajno največ, kar vidimo v celem letu, kot v letih 2022 in 2021, in vidimo, da to drži tudi zdaj,« opozarja. "Stvari se vsekakor povzpenjajo navzgor."

Časovni žig:

Več od Temno branje