Feds: ระวังการโจมตี AvosLocker Ransomware บนโครงสร้างพื้นฐานที่สำคัญ

ทางการสหรัฐฯ ออกคำเตือนในสัปดาห์นี้เกี่ยวกับการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานที่สำคัญจากปฏิบัติการ AvosLocker ของ ransomware-as-a-service (RaaS)

In ที่ปรึกษาด้านความปลอดภัยร่วมกันหน่วยงานโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์และความปลอดภัย (CISA) และ FBI เตือนว่า AvosLocker ได้กำหนดเป้าหมายอุตสาหกรรมที่สำคัญหลายแห่งทั่วสหรัฐอเมริกาเมื่อเดือนพฤษภาคมที่ผ่านมา โดยใช้กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่หลากหลาย รวมถึง กรรโชกสองครั้ง และการใช้ซอฟต์แวร์เนทิฟและโอเพ่นซอร์สที่เชื่อถือได้

มีการออกคำแนะนำ AvosLocker โดยมีพื้นหลังของ การโจมตีแรนซัมแวร์ที่เพิ่มขึ้น ข้ามหลายภาคส่วน ใน รายงานที่เผยแพร่เมื่อวันที่ 13 ต.คบริษัทประกันภัยทางไซเบอร์ Corvus พบว่ามีการโจมตีแรนซัมแวร์เพิ่มขึ้นเกือบ 80% จากปีที่แล้ว เช่นเดียวกับกิจกรรมที่เพิ่มขึ้นมากกว่า 5% เมื่อเทียบเป็นรายเดือนในเดือนกันยายน

สิ่งที่คุณต้องรู้เกี่ยวกับกลุ่ม AvosLocker Ransomware

AvosLocker ไม่เลือกปฏิบัติระหว่างระบบปฏิบัติการ จนถึงตอนนี้มันได้บุกรุก Windows, Linux, และสภาพแวดล้อม VMWare ESXi ในองค์กรเป้าหมาย

บางทีสิ่งที่น่าสังเกตมากที่สุดคือมีเครื่องมือโอเพ่นซอร์สที่ถูกต้องตามกฎหมายจำนวนเท่าใดที่ใช้ในการประนีประนอมเหยื่อ เหล่านี้ได้แก่ RMM เช่น AnyDesk สำหรับการเข้าถึงระยะไกล, สิ่วสำหรับการขุดอุโมงค์เครือข่าย, Cobalt Strike สำหรับคำสั่งและการควบคุม (C2), Mimikatz สำหรับการขโมยข้อมูลรับรอง และตัวจัดเก็บไฟล์ 7zip และอื่นๆ อีกมากมาย

นอกจากนี้ กลุ่มยังชอบที่จะใช้กลยุทธ์การใช้ชีวิตนอกพื้นที่ (LotL) โดยใช้เครื่องมือและฟังก์ชัน Windows ดั้งเดิม เช่น Notepad++, PsExec และ Nltest เพื่อดำเนินการกับโฮสต์ระยะไกล

FBI ยังสังเกตเห็นบริษัทในเครือ AvosLocker ใช้ Web Shell แบบกำหนดเองเพื่อเปิดใช้งานการเข้าถึงเครือข่าย และเรียกใช้ PowerShell และสคริปต์ทุบตีสำหรับการเคลื่อนไหวด้านข้าง การเพิ่มระดับสิทธิ์ และการปิดใช้งานซอฟต์แวร์ป้องกันไวรัส และเมื่อไม่กี่สัปดาห์ก่อนต้นสังกัดก็ได้ออกมาเตือนว่า แฮกเกอร์มีการจุ่มสองครั้ง: ใช้ AvosLocker และแรนซัมแวร์สายพันธุ์อื่นๆ ควบคู่กันไปเพื่อทำให้เหยื่อตกตะลึง

หลังการประนีประนอม AvosLocker จะล็อคและกรองไฟล์เพื่อให้สามารถขู่กรรโชกตามมาได้ หากเหยื่อให้ความร่วมมือน้อยกว่า

“พูดตามตรงทุกอย่างก็เหมือนกันหมด เช่นเดียวกับสิ่งที่เราเห็นมาตลอดปีที่ผ่านมา” Ryan Bell ผู้จัดการข่าวกรองภัยคุกคามที่ Corvus กล่าวถึง AvosLocker และ TTP ของกลุ่ม RaaS อื่นๆ “แต่พวกมันกลับมีประสิทธิภาพที่ร้ายแรงยิ่งขึ้น เมื่อเวลาผ่านไปพวกเขาจะดีขึ้น เร็วขึ้น และเร็วขึ้น”

สิ่งที่บริษัทสามารถทำได้เพื่อป้องกันแรนซัมแวร์

เพื่อป้องกัน AvosLocker และกลุ่มเดียวกัน CISA ได้จัดเตรียมวิธีที่ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญสามารถป้องกันตนเองได้มากมาย รวมถึงการใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์มาตรฐาน เช่น การแบ่งส่วนเครือข่าย การรับรองความถูกต้องแบบหลายปัจจัย และแผนการกู้คืน CISA เพิ่มข้อจำกัดที่เฉพาะเจาะจงมากขึ้น เช่น การจำกัดหรือการปิดใช้งานบริการเดสก์ท็อประยะไกล บริการแชร์ไฟล์และเครื่องพิมพ์ และกิจกรรมบรรทัดคำสั่งและการเขียนสคริปต์และการอนุญาต

องค์กรต่างๆ คงจะฉลาดที่จะดำเนินการในตอนนี้ กลุ่มแรนซัมแวร์จะอุดมสมบูรณ์มากขึ้นเท่านั้น ในช่วงหลายเดือนที่จะมาถึง

“โดยปกติแล้ว กลุ่มแรนซัมแวร์จะใช้เวลาช่วงพักร้อนเล็กน้อย เราลืมไปว่าพวกเขาก็เป็นคนเช่นกัน” เบลล์กล่าว โดยอ้างถึงตัวเลขแรนซัมแวร์ที่ต่ำกว่าค่าเฉลี่ยในช่วงไม่กี่เดือนที่ผ่านมา เขากล่าวว่าการโจมตีทางไซเบอร์ด้วยแรนซัมแวร์ที่เพิ่มขึ้น 5.12% ในเดือนกันยายน มาจากนกขมิ้นในเหมืองถ่านหิน

“พวกเขาจะเพิ่มการโจมตีตลอดไตรมาสที่สี่ โดยปกติแล้วจะเป็นระดับสูงสุดที่เราเห็นตลอดทั้งปี เช่นเดียวกับในปี 2022 และ 2021 และเราเห็นว่าเป็นเช่นนั้นแม้กระทั่งตอนนี้” เขาเตือน “สิ่งต่าง ๆ กำลังปีนขึ้นไปทั่วทั้งกระดานอย่างแน่นอน”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/ics-ot/feds-beware-avoslocker-ransomware-attacks-critical-infrastructure