Η κυβέρνηση των ΗΠΑ ενημέρωσε τη λίστα των εργαλείων που χρησιμοποιούν οι affiliates της συμμορίας AvosLocker ransomware. Στη λίστα αυτή βρίσκονται πλέον και βοηθητικά προγράμματα open-source μαζί με custom PowerShell και batch scripts.
Επιπλέον, το FBI και η CISA δημοσίευσαν ένα YARA rule για τον εντοπισμό κακόβουλου λογισμικού που μοιάζει με νόμιμο εργαλείο παρακολούθησης δικτύου.
Χρήση open-source και νόμιμου λογισμικού σε συνδυασμό
Οι affiliates του AvosLocker ransomware χρησιμοποιούν νόμιμο λογισμικό και open-source κώδικα για απομακρυσμένη διαχείριση συστήματος, για να παραβιάσουν και να κλέψουν δεδομένα από εταιρικά δίκτυα.
Δείτε επίσης: BlackCat ransomware: Ανέλαβε την ευθύνη για την επίθεση σε δικαστήρια της Φλόριντα
Σύμφωνα με το FBI, εγκληματίες του κυβερνοχώρου χρησιμοποιούν custom PowerShell, web shells και batch scripts για να μετακινηθούν μέσα στο δίκτυο, να αυξήσουν τα προνόμιά τους και να απενεργοποιήσουν security agents στα συστήματα.
Σύμφωνα με τις νέες προσθήκες που έκαναν το FBI και η CISA, οι εγκληματίες χρησιμοποιούν τώρα και τα ακόλουθα εργαλεία στα πλαίσια των ransomware επιθέσεων AvosLocker:
- Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, Εργαλεία απομακρυσμένης διαχείρισης Atera Agent για backdoor access
- Open-source network tunneling utilities: Ligolo, Chisel
- Adversary emulation frameworks Cobalt Strike και Sliver για command and control
- Lazagne και Mimikatz για την κλοπή credentials
- FileZilla και Rclone για εξαγωγή δεδομένων
Επιπλέον, έχουν εντοπιστεί επιθέσεις AvosLocker που χρησιμοποιούν τα Notepad++, RDP Scanner και 7zip. Παρατηρήθηκαν, ακόμα, νόμιμα εγγενή εργαλεία των Windows, όπως το PsExec και το Nltest.
Δείτε επίσης: Διαρροή πηγαίου κώδικα του HelloKitty Ransomware
Ένα άλλο στοιχείο των επιθέσεων AvosLocker είναι ένα κομμάτι κακόβουλου λογισμικού που ονομάζεται NetMonitor.exe, το οποίο αποτελεί νόμιμη διαδικασία και “μοιάζει με νόμιμο εργαλείο παρακολούθησης δικτύου“.
Στην πραγματικότητα, το NetMonitor είναι ένα εργαλείο persistence που προέρχεται από το δίκτυο κάθε πέντε λεπτά και λειτουργεί ως reverse proxy για να συνδεθούν οι επιτιθέμενοι απομακρυσμένα στο παραβιασμένο δίκτυο.
Το FBI δημιούργησε τον YARA rule παρακάτω για τον εντοπισμό του κακόβουλου λογισμικού NetMonitor σε ένα δίκτυο.
rule NetMonitor
{
meta:
author = "FBI"
source = "FBI"
sharing = "TLP:CLEAR"
status = "RELEASED"
description = "Yara rule to detect NetMonitor.exe"
category = "MALWARE"
creation_date = "2023-05-05"
strings:
$rc4key = {11 4b 8c dd 65 74 22 c3}
$op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ?? 8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ?? e8}
condition:
uint16(0) == 0x5A4D
and filesize < 50000
and any of them
}“Οι affiliates της ransomware συμμορίας AvosLocker έχουν παραβιάσει οργανισμούς σε πολλούς τομείς κρίσιμων υποδομών στις Ηνωμένες Πολιτείες, επηρεάζοντας περιβάλλοντα Windows, Linux και VMware ESXi“, είπαν το FBI και η CISA.
AvosLocker ransomware: Προστασία
Η CISA και το FBI συνιστούν στους οργανισμούς να εφαρμόσουν μηχανισμούς ελέγχου εφαρμογών για τον έλεγχο της εκτέλεσης λογισμικού, συμπεριλαμβανομένων των επιτρεπόμενων προγραμμάτων, καθώς και να αποτρέψουν την εκτέλεση μη εξουσιοδοτημένων βοηθητικών προγραμμάτων, ειδικά αν πρόκειται για εργαλεία απομακρυσμένης πρόσβασης.
Δείτε επίσης: McLaren Health Care – Blackcat ransomware: Διαρροή δεδομένων ασθενών στο dark web;
Επίσης, προτείνονται οι περιορισμοί της χρήσης υπηρεσιών remote desktop services, όπως το RDP, περιορίζοντας τον αριθμό των προσπαθειών σύνδεσης και εφαρμόζοντας έλεγχο ταυτότητας πολλαπλών παραγόντων ανθεκτικό στο phishing (MFA).
Βασικά μέτρα προστασίας έναντι του ransomware
- Χρήση αξιόπιστων και εξελιγμένων antivirus λογισμικών
- Δημιουργία αντιγράφων ασφαλείας, ειδικά για τα βασικά αρχεία
- Τακτική ενημέρωση συστημάτων, εφαρμογών και antivirus προγραμμάτων
- Εκπαίδευση υπαλλήλων, ώστε να αναγνωρίζουν ύποπτα emails
- Χρήση φίλτρων για αυτόματο μπλοκάρισμα ύποπτων emails
- Χρήση firewall και VPN
- Τμηματοποίηση δικτύου
Η απειλή του AvosLocker είναι πραγματική και συνεχώς εξελίσσεται. Εν τούτοις, με την εφαρμογή των σωστών μέτρων άμυνας, μπορεί να μειωθεί σημαντικά ο κίνδυνος που αντιμετωπίζουν οι επιχειρήσεις. Θυμηθείτε, η βασικότερη προστασία προέρχεται από την έγκαιρη ενημέρωση και την εφαρμογή των απαραίτητων μέτρων ασφάλειας.
Πηγή: www.bleepingcomputer.com