Бандата AvosLocker ransomware е свързана с атаки срещу критични инфраструктурни сектори в САЩ, като някои от тях са открити едва през май 2023 г.

Това се казва в нов съвместен съвет за киберсигурност, публикуван от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР), в който подробно се описват тактиките, техниките и процедурите (TTPs) на операцията „ransomware-as-a-service“ (RaaS).

„Филиалите на AvosLocker компрометират мрежите на организациите, като използват легитимен софтуер и инструменти за отдалечено администриране на системи с отворен код“, казват агенциите. „След това филиалите на AvosLocker използват тактики за изнудване, основани на екфилтрация на данни, със заплахи за изтичане и/или публикуване на откраднати данни.“

Щамът на ransomware се появява за първи път на сцената в средата на 2021 г. и оттогава използва сложни техники за деактивиране на антивирусната защита като мярка за избягване на откриването. Той засяга среди с Windows, Linux и VMware ESXi.

Основна отличителна черта на атаките на AvosLocker е разчитането на инструменти с отворен код и тактики за живеене на земята (LotL), без да се оставят следи, които биха могли да доведат до приписване на престъпление. Използват се и легитимни помощни програми като FileZilla и Rclone за ексфилтрация на данни, както и инструменти за тунелиране като Chisel и Ligolo.

Командването и контролът (C2) се осъществяват с помощта на Cobalt Strike и Sliver, а Lazagne и Mimikatz се използват за кражба на удостоверения. При атаките се използват и персонализирани скриптове PowerShell и Windows Batch за странично придвижване, повишаване на привилегиите и обезвреждане на софтуер за сигурност.

 

„Партньорите на AvosLocker са качили и използвали персонализирани уеб шелове, за да осигурят достъп до мрежата“, отбелязват агенциите. Друг нов компонент е изпълним файл с име NetMonitor.exe, който се представя за инструмент за наблюдение на мрежата, но всъщност функционира като обратен прокси сървър, за да позволи на извършителите на атаката  да се свързват с хоста отвън, извън мрежата на жертвата.

CISA и ФБР препоръчват на организациите от критичната инфраструктура да приложат необходимите мерки за намаляване на вероятността и въздействието на рансъмуера AvosLocker и други инциденти с рансъмуер.

Това включва приемане на контрол на приложенията, ограничаване на използването на RDP и други услуги за отдалечен работен плот, ограничаване на използването на PowerShell, изискване на устойчива на фишинг многофакторна автентикация, сегментиране на мрежите, поддържане на всички системи в актуално състояние и периодично офлайн архивиране.

Разработката идва в момент, когато Mozilla предупреди за атаки с цел получаване на откуп, използващи кампании за злонамерена реклама, които подмамват потребителите да инсталират троянски версии на Thunderbird, което в крайна сметка води до внедряване на зловреден софтуер за криптиране на файлове и стокови семейства зловреден софтуер като IcedID.

Според Secureworks през 2023 г. атаките с рансъмуер са отбелязали сериозен скок, дори когато хакерите  се придвижват бързо, за да внедрят рансъмуер в рамките на един ден от първоначалния достъп в повече от 50% от случаите, което е спад спрямо предишната медиана на времето за престой от 4,5 дни през 2022 г.

AvosLocker ransomware

Нещо повече, в повече от 10 процента от инцидентите рансъмуерът е бил внедрен в рамките на пет часа.

 

„Причината за намаляването на средното време на престой вероятно се дължи на желанието на киберпрестъпниците да намалят шанса за откриване“, казва Дон Смит, вицепрезидент на отдела за разузнаване на заплахи в Secureworks Counter Threat Unit.

„В резултат на това  заплахите се фокусират върху по-прости и бързи за изпълнение операции, а не върху големи събития за криптиране, обхващащи много сайтове на предприятието, които са значително по-сложни. Но рискът от тези атаки все още е висок.“

Използването на публични приложения, откраднати идентификационни данни, готов зловреден софтуер и външни отдалечени услуги се очертават като трите най-големи първоначални вектора за достъп при атаки с рансъмуер.

Според последните насоки на CISA протоколът за отдалечен работен плот (RDP), протоколът за прехвърляне на файлове (FTP), TELNET, Server Message Block (SMB) и виртуалната мрежова обработка (VNC) са някои от неправилните конфигурации и слабостите, за които е известно, че често са използвани като оръжие в кампаниите за откуп.

Моделът RaaS и лесната наличност на изтекъл код на ransomware са намалили бариерата за навлизане дори за начинаещи престъпници, което го превръща в доходоносен начин за получаване на незаконни печалби.

„Въпреки че все още виждаме познати имена като най-активните банди, появата на няколко нови и много активни групи за заплахи подхранва значителното нарастване на броя на жертвите и изтичането на данни“, добави Смит. „Въпреки високопоставените сваляния и санкции, киберпрестъпниците са майстори на адаптацията и затова заплахата продължава да набира скорост.“

В годишния си доклад за цифровата защита Microsoft посочва, че 70% от организациите, които се сблъскват с рансъмуер, управляван от хора, имат по-малко от 500 служители и че 80-90% от всички пробиви произлизат от неуправлявани устройства.

Телеметричните данни, събрани от компанията, показват, че атаките с рансъмуер, управляван от хора, са се увеличили с повече от 200% от септември 2022 г. насам. Magniber, LockBit, Hive и BlackCat съставляват почти 65 процента от всички срещи с рансъмуер.

Освен това приблизително 16 процента от последните успешни атаки с рансъмуер, управлявани от хора, са включвали както криптиране, така и ексфилтрация, а 13 процента са използвали само ексфилтрация.

„Операторите на рансъмуер също така все по-често използват уязвимости в по-рядко използван софтуер, което затруднява предвиждането и защитата срещу техните атаки“, заяви технологичният гигант. „Това засилва значението на цялостния подход към сигурността“.

От Редмънд заявиха, че също така наблюдават „рязко увеличение“ на използването на отдалечено криптиране по време на атаки с рансъмуер, управлявани от хора, което съставлява средно 60 % през последната година.

„Вместо да се разполагат злонамерени файлове на устройството на жертвата, криптирането се извършва дистанционно, като системният процес извършва криптирането, което прави неефективно базираното на процеса отстраняване на проблема“, обясни Microsoft. „Това е знак, че нападателите се развиват, за да намалят още повече своя отпечатък.“

 

 

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
07/02/2025

Astra и Invary набираха ми...

Тази седмица стартиращите компании за киберсигурност...
07/02/2025

Хакер, атакувал НАТО и арми...

Испанските власти обявиха, че е арестувано...
06/02/2025

Нигерия с успехи в киберсиг...

Правителството на Нигерия предприе по-строги мерки...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!