Az Egyesült Államok kritikus infrastruktúrák elleni támadásokkal hozták összefüggésbe az AvosLocker ransomware-t. A támadásokat 2023 májusától észlelték.
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) és a Szövetségi Nyomozó Iroda (FBI) közös kiberbiztonsági tanácsa által kiadott új jelentése részletezi a ransomware-as-a-service (RaaS) műveletek taktikáit, technikáit és eljárásait (TTP).
Az AvosLocker törvényes szoftverek és nyílt forráskódú távoli rendszeradminisztrációs eszközök használatával kompromittálja a szervezetek hálózatait. A támadók ezután azzal zsarolják az áldozatokat, hogy lopott adatokat tesznek közzé.
A ransomware törzs először 2021 közepén jelent meg, és azóta egyre bonyolultabb technikákat alkalmaz a vírusvédelem letiltására az észlelés elkerülésére. A ransomware elsősorban a Windows, Linux és VMware ESXi környezeteket érinti.
Az AvosLocker támadások egyik fő ismertetőjele, hogy nyílt forráskódú eszközökre és a „LotL-off-the-land” taktikára támaszkodik, így nem hagy nyomot. Használnak olyan legitim segédprogramokat is, mint a FileZilla és az Rclone az adatok kiszűrésére, valamint alagútképző eszközöket, mint például a Chisel és a Ligolo. A Command-and-control (C2) a Cobalt Strike és Sliver segítségével valósul meg, míg a Lazagne és Mimikatz a hitelesítő adatok ellopására szolgál. A támadásokhoz egyéni PowerShell és Windows Batch scripteket is alkalmaznak a jogosultságok kiterjesztéséhez és a biztonsági szoftverek hatástalanításához. Egyéni webshelleket is töltöttek fel és használtak a hálózati hozzáférés lehetővé tételére. Egy másik új komponens a NetMonitor.exe nevű fájl, amely hálózatfigyelő eszköznek álcázza magát, de valójában fordított proxyként működik, hogy lehetővé tegye a támadók számára, hogy az áldozat hálózatán kívülről csatlakozzanak a gazdagéphez.
A CISA és az FBI azt javasolja a kritikus infrastruktúrával rendelkező szervezeteknek, hogy hajtsák végre a szükséges intézkedéseket az AvosLocker és más ransomware támadások valószínűségének és hatásának csökkentése érdekében.
Az ajánlott intézkedések között szerepel az alkalmazásvezérlők elfogadása, az RDP és más távoli asztali szolgáltatások és a PowerShell használatának korlátozása, a többfaktoros hitelesítés használata, a hálózatok szegmentálása, az összes rendszer naprakészen tartása és az időszakos offline biztonsági mentések fenntartása.
Korábban a Mozilla figyelmeztetett a rosszindulatú reklámkampányra, amely ráveszi a felhasználókat a Thunderbird trójai verzióinak telepítésére, ami rosszindulatú fájltitkosító programok és családok, például az IcedID telepítéséhez vezet.
