Търсене
Close this search box.

Бандата AvosLocker ransomware е свързана с атаки срещу критични инфраструктурни сектори в САЩ, като някои от тях са открити едва през май 2023 г.

Това се казва в нов съвместен съвет за киберсигурност, публикуван от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР), в който подробно се описват тактиките, техниките и процедурите (TTPs) на операцията „ransomware-as-a-service“ (RaaS).

„Филиалите на AvosLocker компрометират мрежите на организациите, като използват легитимен софтуер и инструменти за отдалечено администриране на системи с отворен код“, казват агенциите. „След това филиалите на AvosLocker използват тактики за изнудване, основани на екфилтрация на данни, със заплахи за изтичане и/или публикуване на откраднати данни.“

Щамът на ransomware се появява за първи път на сцената в средата на 2021 г. и оттогава използва сложни техники за деактивиране на антивирусната защита като мярка за избягване на откриването. Той засяга среди с Windows, Linux и VMware ESXi.

Основна отличителна черта на атаките на AvosLocker е разчитането на инструменти с отворен код и тактики за живеене на земята (LotL), без да се оставят следи, които биха могли да доведат до приписване на престъпление. Използват се и легитимни помощни програми като FileZilla и Rclone за ексфилтрация на данни, както и инструменти за тунелиране като Chisel и Ligolo.

Командването и контролът (C2) се осъществяват с помощта на Cobalt Strike и Sliver, а Lazagne и Mimikatz се използват за кражба на удостоверения. При атаките се използват и персонализирани скриптове PowerShell и Windows Batch за странично придвижване, повишаване на привилегиите и обезвреждане на софтуер за сигурност.

 

„Партньорите на AvosLocker са качили и използвали персонализирани уеб шелове, за да осигурят достъп до мрежата“, отбелязват агенциите. Друг нов компонент е изпълним файл с име NetMonitor.exe, който се представя за инструмент за наблюдение на мрежата, но всъщност функционира като обратен прокси сървър, за да позволи на извършителите на атаката  да се свързват с хоста отвън, извън мрежата на жертвата.

CISA и ФБР препоръчват на организациите от критичната инфраструктура да приложат необходимите мерки за намаляване на вероятността и въздействието на рансъмуера AvosLocker и други инциденти с рансъмуер.

Това включва приемане на контрол на приложенията, ограничаване на използването на RDP и други услуги за отдалечен работен плот, ограничаване на използването на PowerShell, изискване на устойчива на фишинг многофакторна автентикация, сегментиране на мрежите, поддържане на всички системи в актуално състояние и периодично офлайн архивиране.

Разработката идва в момент, когато Mozilla предупреди за атаки с цел получаване на откуп, използващи кампании за злонамерена реклама, които подмамват потребителите да инсталират троянски версии на Thunderbird, което в крайна сметка води до внедряване на зловреден софтуер за криптиране на файлове и стокови семейства зловреден софтуер като IcedID.

Според Secureworks през 2023 г. атаките с рансъмуер са отбелязали сериозен скок, дори когато хакерите  се придвижват бързо, за да внедрят рансъмуер в рамките на един ден от първоначалния достъп в повече от 50% от случаите, което е спад спрямо предишната медиана на времето за престой от 4,5 дни през 2022 г.

AvosLocker ransomware

Нещо повече, в повече от 10 процента от инцидентите рансъмуерът е бил внедрен в рамките на пет часа.

 

„Причината за намаляването на средното време на престой вероятно се дължи на желанието на киберпрестъпниците да намалят шанса за откриване“, казва Дон Смит, вицепрезидент на отдела за разузнаване на заплахи в Secureworks Counter Threat Unit.

„В резултат на това  заплахите се фокусират върху по-прости и бързи за изпълнение операции, а не върху големи събития за криптиране, обхващащи много сайтове на предприятието, които са значително по-сложни. Но рискът от тези атаки все още е висок.“

Използването на публични приложения, откраднати идентификационни данни, готов зловреден софтуер и външни отдалечени услуги се очертават като трите най-големи първоначални вектора за достъп при атаки с рансъмуер.

Според последните насоки на CISA протоколът за отдалечен работен плот (RDP), протоколът за прехвърляне на файлове (FTP), TELNET, Server Message Block (SMB) и виртуалната мрежова обработка (VNC) са някои от неправилните конфигурации и слабостите, за които е известно, че често са използвани като оръжие в кампаниите за откуп.

Моделът RaaS и лесната наличност на изтекъл код на ransomware са намалили бариерата за навлизане дори за начинаещи престъпници, което го превръща в доходоносен начин за получаване на незаконни печалби.

„Въпреки че все още виждаме познати имена като най-активните банди, появата на няколко нови и много активни групи за заплахи подхранва значителното нарастване на броя на жертвите и изтичането на данни“, добави Смит. „Въпреки високопоставените сваляния и санкции, киберпрестъпниците са майстори на адаптацията и затова заплахата продължава да набира скорост.“

В годишния си доклад за цифровата защита Microsoft посочва, че 70% от организациите, които се сблъскват с рансъмуер, управляван от хора, имат по-малко от 500 служители и че 80-90% от всички пробиви произлизат от неуправлявани устройства.

Телеметричните данни, събрани от компанията, показват, че атаките с рансъмуер, управляван от хора, са се увеличили с повече от 200% от септември 2022 г. насам. Magniber, LockBit, Hive и BlackCat съставляват почти 65 процента от всички срещи с рансъмуер.

Освен това приблизително 16 процента от последните успешни атаки с рансъмуер, управлявани от хора, са включвали както криптиране, така и ексфилтрация, а 13 процента са използвали само ексфилтрация.

„Операторите на рансъмуер също така все по-често използват уязвимости в по-рядко използван софтуер, което затруднява предвиждането и защитата срещу техните атаки“, заяви технологичният гигант. „Това засилва значението на цялостния подход към сигурността“.

От Редмънд заявиха, че също така наблюдават „рязко увеличение“ на използването на отдалечено криптиране по време на атаки с рансъмуер, управлявани от хора, което съставлява средно 60 % през последната година.

„Вместо да се разполагат злонамерени файлове на устройството на жертвата, криптирането се извършва дистанционно, като системният процес извършва криптирането, което прави неефективно базираното на процеса отстраняване на проблема“, обясни Microsoft. „Това е знак, че нападателите се развиват, за да намалят още повече своя отпечатък.“

 

 

Източник: The Hacker News

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
03/10/2024

САЩ и техните съюзници изда...

Нови насоки от правителствени агенции в...
03/10/2024

MITRE добавя смекчаващи мер...

Във вторник (в България сряда )MITRE...
02/10/2024

Нови арести за LockBit

Правоприлагащите органи от 12 държави арестуваха...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!