FBI、CISA警告针对关键基础设施的勒索软件攻击不断增加

AvosLocker 勒索软件团伙与针对美国关键基础设施部门的攻击有关，其中一些勒索软件团伙最近在 2023 年 5 月才被发现。

美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 联合发布的网络安全通告（https://www.cisa.gov/news-events/alerts/2023/10/11/fbi-and-cisa-release-update-avoslocker-advisory），详细介绍了勒索软件即服务 (RaaS) 行动的策略、技术和程序 (TTP) ）。

安全通告中表示：“AvosLocker 附属机构通过使用合法软件和开源远程系统管理工具来破坏组织的网络。 ” “AvosLocker 附属组织使用基于渗透的数据勒索策略，威胁泄露和/或发布被盗数据。”

该勒索软件家族于 2021 年年中首次出现，此后利用复杂的技术禁用防病毒保护作为检测规避措施。它影响 Windows、Linux 和 VMware ESXi 环境。

AvosLocker 勒索软件攻击的一个关键特征是依赖开源工具和离地生活 (LotL) 策略，不留下任何可能导致归因的痕迹。还使用合法的实用程序（例如 FileZilla 和 Rclone）进行数据窃取，以及隧道工具（例如 Chisel 和 Ligolo）隐蔽通信。

该勒索软件使用的命令与控制 (C2) 通过 Cobalt Strike 和 Sliver 完成，而 Lazagne 和 Mimikatz 用于凭证盗窃。这些攻击还使用自定义 PowerShell 和 Windows Batch 脚本进行横向移动、权限升级和卸载安全软件。

安全通告指出：“AvosLocker 勒索软件团伙已上传并使用自定义 Web shell 来实现网络访问。” 另一个新组件是一个名为 NetMonitor.exe 的可执行文件，它伪装成网络监控工具，但实际上充当反向代理，允许攻击者从受害者网络外部连接到主机。

CISA 和 FBI 建议关键基础设施组织实施必要的缓解措施，以减少 AvosLocker 勒索软件和其他勒索软件事件的可能性和影响。

这包括采用应用程序控制、限制 RDP 和其他远程桌面服务的使用、限制 PowerShell 的使用、要求防网络钓鱼的多因素身份验证、分段网络、保持所有系统最新以及维护定期离线备份。

与此同时，Mozilla警告称，勒索软件攻击利用恶意广告活动诱骗用户安装 Thunderbird 木马版本，最终导致文件加密恶意软件和 IcedID 等商品恶意软件系列的部署。

据 Secureworks 称，2023 年勒索软件攻击大幅增加，超过 50% 的攻击活动在首次访问后一天内迅速部署勒索软件，而 2022 年勒索软件的平均停留时间为 4.5 天。

在超过 10% 的事件中，勒索软件是在五小时内部署的。

Secureworks 反威胁部门威胁情报副总裁唐·史密斯 (Don Smith)表示： “中位停留时间减少的驱动因素可能是网络犯罪分子希望降低被发现的机会。”

“因此，攻击者专注于更简单、更快速地实施操作，而不是复杂得多的大型、多站点企业范围加密事件。但这些攻击的风险仍然很高。”

利用面向公众的应用程序、被盗凭证、现成的恶意软件和外部远程服务已成为勒索软件攻击的三大初始访问媒介。

根据CISA的最新指南，远程桌面协议 (RDP)、文件传输协议 (FTP)、TELNET、SMB协议和 VNC 等已知常见的服务组件存在的错误配置和安全漏洞在勒索软件活动中被武器化。

RaaS 业务模式和随时可用的泄露勒索软件代码降低了网络犯罪新手的进入门槛，使其成为获取非法利润的有利途径。

史密斯补充说：“虽然我们仍然将熟悉的名字视为最活跃的攻击者，但几个新的、非常活跃的威胁组织的出现正在推动受害者和数据泄露的显着增加。” “尽管网络犯罪分子受到了执法部门打击和制裁，但他们仍然是适应能力的大师，因此威胁活动得以继续加速。”

微软在其年度数字防御报告中表示，受到勒索软件攻击的组织机构中，70% 的员工人数不足 500 人，而且所有攻击中 80% 至 90% 源自不受管理的设备。

该公司收集的遥测数据显示，自 2022 年 9 月以来，勒索软件攻击增加了 200% 以上。Magniber 、 LockBit 、 Hive和BlackCat几乎占所有勒索软件遭遇的 65%。

最近成功的勒索软件攻击约有 16% 涉及加密和渗透，而 13% 的勒索软件攻击仅使用渗透。

微软表示：“勒索软件运营商越来越多地利用不太常见的软件中存在的安全漏洞，这使得预测和防御他们的攻击变得更加困难。 ”

微软还观察到勒索软件攻击中远程加密的使用“急剧增加”，在过去一年中平均占 60%。

微软解释说：“加密不是在受害者设备上部署恶意文件，而是远程完成，由系统进程执行加密，这使得基于进程的修复无效。” “这是攻击者不断进化以进一步减少其足迹的迹象。”

参考链接：https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html