Бандата AvosLocker ransomware е свързана с атаки срещу критични инфраструктурни сектори в САЩ, като някои от тях са открити едва през май 2023 г.
Това се казва в нов съвместен съвет за киберсигурност, публикуван от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР), в който подробно се описват тактиките, техниките и процедурите (TTPs) на операцията „ransomware-as-a-service“ (RaaS).
„Филиалите на AvosLocker компрометират мрежите на организациите, като използват легитимен софтуер и инструменти за отдалечено администриране на системи с отворен код“, казват агенциите. „След това филиалите на AvosLocker използват тактики за изнудване, основани на екфилтрация на данни, със заплахи за изтичане и/или публикуване на откраднати данни.“
Щамът на ransomware се появява за първи път на сцената в средата на 2021 г. и оттогава използва сложни техники за деактивиране на антивирусната защита като мярка за избягване на откриването. Той засяга среди с Windows, Linux и VMware ESXi.
Основна отличителна черта на атаките на AvosLocker е разчитането на инструменти с отворен код и тактики за живеене на земята (LotL), без да се оставят следи, които биха могли да доведат до приписване на престъпление. Използват се и легитимни помощни програми като FileZilla и Rclone за ексфилтрация на данни, както и инструменти за тунелиране като Chisel и Ligolo.
Командването и контролът (C2) се осъществяват с помощта на Cobalt Strike и Sliver, а Lazagne и Mimikatz се използват за кражба на удостоверения. При атаките се използват и персонализирани скриптове PowerShell и Windows Batch за странично придвижване, повишаване на привилегиите и обезвреждане на софтуер за сигурност.
„Партньорите на AvosLocker са качили и използвали персонализирани уеб шелове, за да осигурят достъп до мрежата“, отбелязват агенциите. Друг нов компонент е изпълним файл с име NetMonitor.exe, който се представя за инструмент за наблюдение на мрежата, но всъщност функционира като обратен прокси сървър, за да позволи на извършителите на атаката да се свързват с хоста отвън, извън мрежата на жертвата.
CISA и ФБР препоръчват на организациите от критичната инфраструктура да приложат необходимите мерки за намаляване на вероятността и въздействието на рансъмуера AvosLocker и други инциденти с рансъмуер.
Това включва приемане на контрол на приложенията, ограничаване на използването на RDP и други услуги за отдалечен работен плот, ограничаване на използването на PowerShell, изискване на устойчива на фишинг многофакторна автентикация, сегментиране на мрежите, поддържане на всички системи в актуално състояние и периодично офлайн архивиране.
Разработката идва в момент, когато Mozilla предупреди за атаки с цел получаване на откуп, използващи кампании за злонамерена реклама, които подмамват потребителите да инсталират троянски версии на Thunderbird, което в крайна сметка води до внедряване на зловреден софтуер за криптиране на файлове и стокови семейства зловреден софтуер като IcedID.
Според Secureworks през 2023 г. атаките с рансъмуер са отбелязали сериозен скок, дори когато хакерите се придвижват бързо, за да внедрят рансъмуер в рамките на един ден от първоначалния достъп в повече от 50% от случаите, което е спад спрямо предишната медиана на времето за престой от 4,5 дни през 2022 г.
Нещо повече, в повече от 10 процента от инцидентите рансъмуерът е бил внедрен в рамките на пет часа.
„Причината за намаляването на средното време на престой вероятно се дължи на желанието на киберпрестъпниците да намалят шанса за откриване“, казва Дон Смит, вицепрезидент на отдела за разузнаване на заплахи в Secureworks Counter Threat Unit.
„В резултат на това заплахите се фокусират върху по-прости и бързи за изпълнение операции, а не върху големи събития за криптиране, обхващащи много сайтове на предприятието, които са значително по-сложни. Но рискът от тези атаки все още е висок.“
Използването на публични приложения, откраднати идентификационни данни, готов зловреден софтуер и външни отдалечени услуги се очертават като трите най-големи първоначални вектора за достъп при атаки с рансъмуер.
Според последните насоки на CISA протоколът за отдалечен работен плот (RDP), протоколът за прехвърляне на файлове (FTP), TELNET, Server Message Block (SMB) и виртуалната мрежова обработка (VNC) са някои от неправилните конфигурации и слабостите, за които е известно, че често са използвани като оръжие в кампаниите за откуп.
Моделът RaaS и лесната наличност на изтекъл код на ransomware са намалили бариерата за навлизане дори за начинаещи престъпници, което го превръща в доходоносен начин за получаване на незаконни печалби.
„Въпреки че все още виждаме познати имена като най-активните банди, появата на няколко нови и много активни групи за заплахи подхранва значителното нарастване на броя на жертвите и изтичането на данни“, добави Смит. „Въпреки високопоставените сваляния и санкции, киберпрестъпниците са майстори на адаптацията и затова заплахата продължава да набира скорост.“
В годишния си доклад за цифровата защита Microsoft посочва, че 70% от организациите, които се сблъскват с рансъмуер, управляван от хора, имат по-малко от 500 служители и че 80-90% от всички пробиви произлизат от неуправлявани устройства.
Телеметричните данни, събрани от компанията, показват, че атаките с рансъмуер, управляван от хора, са се увеличили с повече от 200% от септември 2022 г. насам. Magniber, LockBit, Hive и BlackCat съставляват почти 65 процента от всички срещи с рансъмуер.
Освен това приблизително 16 процента от последните успешни атаки с рансъмуер, управлявани от хора, са включвали както криптиране, така и ексфилтрация, а 13 процента са използвали само ексфилтрация.
„Операторите на рансъмуер също така все по-често използват уязвимости в по-рядко използван софтуер, което затруднява предвиждането и защитата срещу техните атаки“, заяви технологичният гигант. „Това засилва значението на цялостния подход към сигурността“.
От Редмънд заявиха, че също така наблюдават „рязко увеличение“ на използването на отдалечено криптиране по време на атаки с рансъмуер, управлявани от хора, което съставлява средно 60 % през последната година.
„Вместо да се разполагат злонамерени файлове на устройството на жертвата, криптирането се извършва дистанционно, като системният процес извършва криптирането, което прави неефективно базираното на процеса отстраняване на проблема“, обясни Microsoft. „Това е знак, че нападателите се развиват, за да намалят още повече своя отпечатък.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.