Търсене
Close this search box.

ФБР и CISA: Нарастват атаките срещу критичната инфраструктура

Бандата AvosLocker ransomware е свързана с атаки срещу критични инфраструктурни сектори в САЩ, като някои от тях са открити едва през май 2023 г.

Това се казва в нов съвместен съвет за киберсигурност, публикуван от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР), в който подробно се описват тактиките, техниките и процедурите (TTPs) на операцията „ransomware-as-a-service“ (RaaS).

„Филиалите на AvosLocker компрометират мрежите на организациите, като използват легитимен софтуер и инструменти за отдалечено администриране на системи с отворен код“, казват агенциите. „След това филиалите на AvosLocker използват тактики за изнудване, основани на екфилтрация на данни, със заплахи за изтичане и/или публикуване на откраднати данни.“

Щамът на ransomware се появява за първи път на сцената в средата на 2021 г. и оттогава използва сложни техники за деактивиране на антивирусната защита като мярка за избягване на откриването. Той засяга среди с Windows, Linux и VMware ESXi.

Основна отличителна черта на атаките на AvosLocker е разчитането на инструменти с отворен код и тактики за живеене на земята (LotL), без да се оставят следи, които биха могли да доведат до приписване на престъпление. Използват се и легитимни помощни програми като FileZilla и Rclone за ексфилтрация на данни, както и инструменти за тунелиране като Chisel и Ligolo.

Командването и контролът (C2) се осъществяват с помощта на Cobalt Strike и Sliver, а Lazagne и Mimikatz се използват за кражба на удостоверения. При атаките се използват и персонализирани скриптове PowerShell и Windows Batch за странично придвижване, повишаване на привилегиите и обезвреждане на софтуер за сигурност.

 

„Партньорите на AvosLocker са качили и използвали персонализирани уеб шелове, за да осигурят достъп до мрежата“, отбелязват агенциите. Друг нов компонент е изпълним файл с име NetMonitor.exe, който се представя за инструмент за наблюдение на мрежата, но всъщност функционира като обратен прокси сървър, за да позволи на извършителите на атаката  да се свързват с хоста отвън, извън мрежата на жертвата.

CISA и ФБР препоръчват на организациите от критичната инфраструктура да приложат необходимите мерки за намаляване на вероятността и въздействието на рансъмуера AvosLocker и други инциденти с рансъмуер.

Това включва приемане на контрол на приложенията, ограничаване на използването на RDP и други услуги за отдалечен работен плот, ограничаване на използването на PowerShell, изискване на устойчива на фишинг многофакторна автентикация, сегментиране на мрежите, поддържане на всички системи в актуално състояние и периодично офлайн архивиране.

Разработката идва в момент, когато Mozilla предупреди за атаки с цел получаване на откуп, използващи кампании за злонамерена реклама, които подмамват потребителите да инсталират троянски версии на Thunderbird, което в крайна сметка води до внедряване на зловреден софтуер за криптиране на файлове и стокови семейства зловреден софтуер като IcedID.

Според Secureworks през 2023 г. атаките с рансъмуер са отбелязали сериозен скок, дори когато хакерите  се придвижват бързо, за да внедрят рансъмуер в рамките на един ден от първоначалния достъп в повече от 50% от случаите, което е спад спрямо предишната медиана на времето за престой от 4,5 дни през 2022 г.

AvosLocker ransomware

Нещо повече, в повече от 10 процента от инцидентите рансъмуерът е бил внедрен в рамките на пет часа.

 

„Причината за намаляването на средното време на престой вероятно се дължи на желанието на киберпрестъпниците да намалят шанса за откриване“, казва Дон Смит, вицепрезидент на отдела за разузнаване на заплахи в Secureworks Counter Threat Unit.

„В резултат на това  заплахите се фокусират върху по-прости и бързи за изпълнение операции, а не върху големи събития за криптиране, обхващащи много сайтове на предприятието, които са значително по-сложни. Но рискът от тези атаки все още е висок.“

Използването на публични приложения, откраднати идентификационни данни, готов зловреден софтуер и външни отдалечени услуги се очертават като трите най-големи първоначални вектора за достъп при атаки с рансъмуер.

Според последните насоки на CISA протоколът за отдалечен работен плот (RDP), протоколът за прехвърляне на файлове (FTP), TELNET, Server Message Block (SMB) и виртуалната мрежова обработка (VNC) са някои от неправилните конфигурации и слабостите, за които е известно, че често са използвани като оръжие в кампаниите за откуп.

Моделът RaaS и лесната наличност на изтекъл код на ransomware са намалили бариерата за навлизане дори за начинаещи престъпници, което го превръща в доходоносен начин за получаване на незаконни печалби.

„Въпреки че все още виждаме познати имена като най-активните банди, появата на няколко нови и много активни групи за заплахи подхранва значителното нарастване на броя на жертвите и изтичането на данни“, добави Смит. „Въпреки високопоставените сваляния и санкции, киберпрестъпниците са майстори на адаптацията и затова заплахата продължава да набира скорост.“

В годишния си доклад за цифровата защита Microsoft посочва, че 70% от организациите, които се сблъскват с рансъмуер, управляван от хора, имат по-малко от 500 служители и че 80-90% от всички пробиви произлизат от неуправлявани устройства.

Телеметричните данни, събрани от компанията, показват, че атаките с рансъмуер, управляван от хора, са се увеличили с повече от 200% от септември 2022 г. насам. Magniber, LockBit, Hive и BlackCat съставляват почти 65 процента от всички срещи с рансъмуер.

Освен това приблизително 16 процента от последните успешни атаки с рансъмуер, управлявани от хора, са включвали както криптиране, така и ексфилтрация, а 13 процента са използвали само ексфилтрация.

„Операторите на рансъмуер също така все по-често използват уязвимости в по-рядко използван софтуер, което затруднява предвиждането и защитата срещу техните атаки“, заяви технологичният гигант. „Това засилва значението на цялостния подход към сигурността“.

От Редмънд заявиха, че също така наблюдават „рязко увеличение“ на използването на отдалечено криптиране по време на атаки с рансъмуер, управлявани от хора, което съставлява средно 60 % през последната година.

„Вместо да се разполагат злонамерени файлове на устройството на жертвата, криптирането се извършва дистанционно, като системният процес извършва криптирането, което прави неефективно базираното на процеса отстраняване на проблема“, обясни Microsoft. „Това е знак, че нападателите се развиват, за да намалят още повече своя отпечатък.“

 

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
11/04/2024

Panera Bread подхранва подо...

Веригата ресторанти не е предоставила никаква...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!