Das FBI warnt vor Cyberangriffen mit der Ransomware AvosLocker

an
Das FBI warnt vor Cyberangriffen mit der Ransomware AvosLocker
Die AvosLocker Ransomware as a Service (RaaS)-Gruppe hat es auf kritische Infrastruktursektoren in den USA abgesehen, wie Finanzdienstleistungen, Fertigung und Regierung Einrichtungen, sagte das FBI.
Bild: Vitalii Gulenok, Getty Images/ iStockPhoto
Das FBI und das US-Finanzministerium raten Organisationen, sich vor einer bestimmten Art von Ransomware zu hüten, die auf kritische Infrastruktursektoren in den Vereinigten Staaten abzielt. Eine gemeinsame Cybersicherheitsempfehlung, die am vergangenen Donnerstag veröffentlicht wurde, warnt von den beiden Agenturen vor einer Ransomware as a Service (RaaS)-Tochtergesellschaft namens AvosLocker.
Zu den Opfern gehören unter anderem Finanzdienstleistungen, Fertigungsunternehmen und Regierungsbehörden. Die Gruppe behauptet, sie habe nicht nur Organisationen in den USA, sondern auch in Großbritannien, Kanada, China, Taiwan, Deutschland, Spanien, Saudi-Arabien und anderen Ländern ins Visier genommen.
SEHEN: Wie man ein Cybersicherheitsprofi wird: Ein Spickzettel
Diese spezielle Ransomware verschlüsselt Dateien auf dem Server eines Opfers und benennt sie mit der Erweiterung .avos, avos2 oder AvosLinux um. Die Lösegeldforderung mit dem Namen GET_YOUR_FILES_BACK.txt teilt betroffenen Organisationen mit, dass ihre Dateien und vertraulichen Dokumente verschlüsselt wurden und dass sie für einen Entschlüsselungsschlüssel und eine Anwendung bezahlen müssen. Die Opfer werden dann angewiesen, zu einer AvosLocker .onion-Zahlungsseite zu navigieren, um die Lösegeldzahlung in Monero (oder Bitcoin zu einem 21%-25% Prämie). Mitglieder der Ransomware-Gruppe haben tatsächlich Opfer telefonisch angerufen, um sie auf die Zahlungsseite zu verweisen und sogar über eine Reduzierung der Zahlung zu verhandeln, so das FBI. Während dieser Verhandlungen drohen die Cyberkriminellen manchmal mit Distributed-Denial-of-Service-Angriffen (DDoS). Organisationen, die das Lösegeld nicht zahlen, werden gewarnt, dass ihre vertraulichen Daten über den Pressemitteilungs-Blog der Gruppe durchgesickert sind.
AvosLocker-Ransomware-Angriffe weisen spezifische Kompromittierungsindikatoren (IoC) als Hinweis darauf auf, dass eine Organisation infiziert wurde. Solche IoCs umfassen die Änderung von „Ausführen“-Schlüsseln der Windows-Registrierung und die Verwendung geplanter Aufgaben. Die Empfehlung listet auch die folgenden Tools auf, die mit diesen Angriffen in Verbindung stehen: Cobalt Strike
PuTTY Secure Copy Client-Tool „pscp.exe“ Rclone AnyDesk
Erweiterter IP-Scanner
WinLister
Darüber hinaus haben mehrere Opfer Schwachstellen in lokalen Microsoft Exchange Server-Systemen als eine Möglichkeit für Eindringlinge aufgedeckt. Ebenfalls ins Visier genommen wurden Proxy-Shell-Schwachstellen im Zusammenhang mit CVE-1218-2022, CVE-1218-26855 und CVE-2021-2021, sowie CVE-1218-2021.
„Diese Art von Beratung neigt dazu zwei Dinge widerspiegeln: die Zunahme der Anzahl der von einer Gruppe verübten Angriffe und die Verfügbarkeit konsistenter Indikatoren für Kompromisse oder ein Verständnis der Vorgehensweise der Gruppe“, sagte Oliver Tavakoli, CTO von Vectra AI. „Die AvosLocker-Ransomware ist eine ziemlich standardmäßige Variante des altbewährten Rezepts für Ransomware-Pakete – interessante Dateien finden, sie exfiltrieren, diejenigen in der Zielumgebung verschlüsseln, eine Lösegeldforderung hinterlegen usw.“
Um Unternehmen dabei zu helfen, sich besser vor einem AvosLocker-Ransomware-Angriff zu schützen, bietet der Ratgeber die folgenden Tipps:
Sichern Sie regelmäßig Ihre Daten und Schützen Sie alle Offline-Backups mit einem Passwort. Stellen Sie sicher, dass Backups Ihrer kritischen Daten nicht geändert oder entfernt werden können.
Aktualisieren Sie regelmäßig die Antiviren- und Sicherheitssoftware auf allen Hosts und Echtzeiterkennung implementieren.
- Aktualisieren Sie Ihre Betriebssysteme, Software und Firmware mit den neuesten Sicherheitspatches, sobald diese verfügbar sind.
Überprüfen Sie Ihre Domänencontroller, Server, Arbeitsstationen und Active Directorys auf neue oder unbekannte Konten.
Erwägen Sie, ein Banner für alle E-Mails anzuzeigen, die Sie außerhalb Ihrer Organisation erhalten.
Hyperlinks in empfangenen E-Mails deaktivieren .
- Verwenden Sie wann und wo immer möglich Multifaktor-Authentifizierung.
Verwenden Sie starke und sichere Passwörter für Ihre Netzwerksysteme und Konten und ändern Sie diese regelmäßig.
- Administrator-Anmeldeinformationen erforderlich, um Software zu installieren .
Bieten Sie Benutzern regelmäßig Cybersicherheitsschulungen mit Schwerpunkt auf neu auftretenden Risiken und Schwachstellen wie Ransomware und Phishing-Angriffen an.
Siehe auch
(TechRepublic)
So erkennen Sie proaktiv und Ransomware-Angriffe verhindern
(TechRepublic)
Cybersicherheit und Cyberwar: Weitere Berichterstattung, die man unbedingt lesen muss (TechRepublic auf Flipboard) (TechRepublic auf Flipboard)
Sicherheit