Das FBI warnt vor Cyberangriffen mit der Ransomware AvosLocker


an

Das FBI warnt vor Cyberangriffen mit der Ransomware AvosLocker

Die AvosLocker Ransomware as a Service (RaaS)-Gruppe hat es auf kritische Infrastruktursektoren in den USA abgesehen, wie Finanzdienstleistungen, Fertigung und Regierung Einrichtungen, sagte das FBI.

cyberattack image.

Bild: Vitalii Gulenok, Getty Images/ iStockPhoto

Das FBI und das US-Finanzministerium raten Organisationen, sich vor einer bestimmten Art von Ransomware zu hüten, die auf kritische Infrastruktursektoren in den Vereinigten Staaten abzielt. Eine gemeinsame Cybersicherheitsempfehlung, die am vergangenen Donnerstag veröffentlicht wurde, warnt von den beiden Agenturen vor einer Ransomware as a Service (RaaS)-Tochtergesellschaft namens AvosLocker.

Zu den Opfern gehören unter anderem Finanzdienstleistungen, Fertigungsunternehmen und Regierungsbehörden. Die Gruppe behauptet, sie habe nicht nur Organisationen in den USA, sondern auch in Großbritannien, Kanada, China, Taiwan, Deutschland, Spanien, Saudi-Arabien und anderen Ländern ins Visier genommen.

SEHEN: Wie man ein Cybersicherheitsprofi wird: Ein Spickzettel

(TechRepublic)

Diese spezielle Ransomware verschlüsselt Dateien auf dem Server eines Opfers und benennt sie mit der Erweiterung .avos, avos2 oder AvosLinux um. Die Lösegeldforderung mit dem Namen GET_YOUR_FILES_BACK.txt teilt betroffenen Organisationen mit, dass ihre Dateien und vertraulichen Dokumente verschlüsselt wurden und dass sie für einen Entschlüsselungsschlüssel und eine Anwendung bezahlen müssen. Die Opfer werden dann angewiesen, zu einer AvosLocker .onion-Zahlungsseite zu navigieren, um die Lösegeldzahlung in Monero (oder Bitcoin zu einem 21%-25% Prämie).

AvosLocker Lösegeldforderung vom Dezember . Quelle: FBI und US-Finanzministerium

Mitglieder der Ransomware-Gruppe haben tatsächlich Opfer telefonisch angerufen, um sie auf die Zahlungsseite zu verweisen und sogar über eine Reduzierung der Zahlung zu verhandeln, so das FBI. Während dieser Verhandlungen drohen die Cyberkriminellen manchmal mit Distributed-Denial-of-Service-Angriffen (DDoS). Organisationen, die das Lösegeld nicht zahlen, werden gewarnt, dass ihre vertraulichen Daten über den Pressemitteilungs-Blog der Gruppe durchgesickert sind.

AvosLocker-Ransomware-Angriffe weisen spezifische Kompromittierungsindikatoren (IoC) als Hinweis darauf auf, dass eine Organisation infiziert wurde. Solche IoCs umfassen die Änderung von „Ausführen“-Schlüsseln der Windows-Registrierung und die Verwendung geplanter Aufgaben. Die Empfehlung listet auch die folgenden Tools auf, die mit diesen Angriffen in Verbindung stehen:

  • Cobalt Strike
    Kodierte PowerShell-Skripte (ein öffentlich verfügbares Tool)

    PuTTY Secure Copy Client-Tool „pscp.exe“

    Rclone

    AnyDesk

    • Erweiterter IP-Scanner

        WinLister

      Darüber hinaus haben mehrere Opfer Schwachstellen in lokalen Microsoft Exchange Server-Systemen als eine Möglichkeit für Eindringlinge aufgedeckt. Ebenfalls ins Visier genommen wurden Proxy-Shell-Schwachstellen im Zusammenhang mit CVE-1218-2022, CVE-1218-26855 und CVE-2021-2021, sowie CVE-1218-2021.

      „Diese Art von Beratung neigt dazu zwei Dinge widerspiegeln: die Zunahme der Anzahl der von einer Gruppe verübten Angriffe und die Verfügbarkeit konsistenter Indikatoren für Kompromisse oder ein Verständnis der Vorgehensweise der Gruppe“, sagte Oliver Tavakoli, CTO von Vectra AI. „Die AvosLocker-Ransomware ist eine ziemlich standardmäßige Variante des altbewährten Rezepts für Ransomware-Pakete – interessante Dateien finden, sie exfiltrieren, diejenigen in der Zielumgebung verschlüsseln, eine Lösegeldforderung hinterlegen usw.“

      SEHEN:
    Sicherheitsbewusstsein und Schulungsrichtlinie
    (TechRepublic-Premium)

    Um Unternehmen dabei zu helfen, sich besser vor einem AvosLocker-Ransomware-Angriff zu schützen, bietet der Ratgeber die folgenden Tipps:

    Richten Sie einen Wiederherstellungsplan ein, um mehrere Kopien sensibler oder proprietärer Daten an einem sicheren und segmentierten Ort getrennt von Ihrem Hauptnetzwerk zu speichern.

    Segmentieren Sie Ihr Netzwerk an d Erstellen Sie Offline-Backups Ihrer Daten, um Unterbrechungen Ihres Geschäfts im Falle eines Angriffs zu minimieren.

    Sichern Sie regelmäßig Ihre Daten und Schützen Sie alle Offline-Backups mit einem Passwort. Stellen Sie sicher, dass Backups Ihrer kritischen Daten nicht geändert oder entfernt werden können.

      Aktualisieren Sie regelmäßig die Antiviren- und Sicherheitssoftware auf allen Hosts und Echtzeiterkennung implementieren.

          Aktualisieren Sie Ihre Betriebssysteme, Software und Firmware mit den neuesten Sicherheitspatches, sobald diese verfügbar sind.

        Überprüfen Sie Ihre Domänencontroller, Server, Arbeitsstationen und Active Directorys auf neue oder unbekannte Konten.

        Geben Sie nicht allen Benutzern Administratorrechte. Richten Sie Ihre Zugriffskontrollen mit den geringsten Rechten ein. Prüfen Sie alle Benutzerkonten mit Administratorrechten.
      Alle ungenutzten Ports deaktivieren.

        Erwägen Sie, ein Banner für alle E-Mails anzuzeigen, die Sie außerhalb Ihrer Organisation erhalten.

    Hyperlinks in empfangenen E-Mails deaktivieren .

      Verwenden Sie wann und wo immer möglich Multifaktor-Authentifizierung.

    Verwenden Sie starke und sichere Passwörter für Ihre Netzwerksysteme und Konten und ändern Sie diese regelmäßig.

      Administrator-Anmeldeinformationen erforderlich, um Software zu installieren .
  • Verwenden Sie sichere Netzwerke und VPNs und vermeiden Sie die Nutzung öffentlicher Wi-Fi-Netzwerke ks.
  • Bieten Sie Benutzern regelmäßig Cybersicherheitsschulungen mit Schwerpunkt auf neu auftretenden Risiken und Schwachstellen wie Ransomware und Phishing-Angriffen an.

  • Siehe auch

    AvosLocker Ransomware Note.

    Ransomware: Was IT-Profis wissen müssen (kostenloses PDF)

    (TechRepublic)

    Einstellungskit: Cybersecurity Engineer (TechRepublic Premium)

    So erkennen Sie proaktiv und Ransomware-Angriffe verhindern

    (TechRepublic)

    Bericht: So ziemlich jede Art von Cyber Angriff erhöht in 834 (TechRepublic)

      Cybersicherheit und Cyberwar: Weitere Berichterstattung, die man unbedingt lesen muss (TechRepublic auf Flipboard) (TechRepublic auf Flipboard)

  • Sicherheit

    Ähnliche Artikel

    Schaltfläche "Zurück zum Anfang"