, 2022/3/22
Az AvosLocker csoport az amerikai kritikus infrastruktúrát célozza, mondja az FBI. A zsarolóvírus társszervezetek lopott adatok közzétételével vagy DDoS-támadások indításával fenyegetőznek, ha az áldozatok nem fizetnek. Egy tavaly nyár óta működő ransomware-as-a-service (RaaS) csoport az Egyesült Államok kritikus infrastruktúráját veszi célba a szövetségi bűnüldöző szervek szerint.
A célpontok között a pénzügyi szolgáltatások, a gyártás és a kormányzati szektorban használt eszközök is szerepelnek - közölték a szövetségiek.
Az AvosLocker zsarolóvírus az FBI, a Pénzügyminisztérium és a Pénzügyi Bűnüldözési Hálózat (FinCEN) által múlt hét végén kiadott közös tanácsadás [PDF] szerint országszerte több áldozatot is célba vett.
A tanácsadás különböző veszélyeztetettségi mutatókat (IoC) vázol fel, amelyek segíthetnek a vállalatoknak megállapítani, hogy AvosLocker áldozattá váltak-e, valamint egy listát tartalmaz azokról a kárenyhítési lépésekről, amelyeket megtehetnek. Ezek közé tartozik az adat-visszaállítási terv kidolgozása és a hálózati szegmentáció megvalósítása, az adatok rendszeres biztonsági mentése, a vírusirtó szoftverek telepítése és frissítése, valamint az operációs rendszerek frissítéseinek és javításainak telepítése.
Az IoC-k meghatározása kihívást jelent a RaaS - amelyben a rosszindulatú programok fejlesztői lényegében bérbe adják rosszindulatú kódjukat más fenyegető szereplők számára - és az AvosLocker működési módja miatt. "Az AvosLocker azt állítja, hogy közvetlenül kezeli a váltságdíj tárgyalások, valamint az exfiltrált áldozati adatok közzétételét és tárolását, miután a leányvállalataik megfertőzték a célpontokat" - áll a szövetségi tanácsadásban.
"Ennek eredményeképpen az AvosLocker veszélyeztetettségi mutatói (IOC) az AvosLocker malware-re jellemző mutatók és a behatolásért felelős egyedi társvállalatra jellemző mutatók között változnak". Az AvosLocker tavaly került a fenyegetéselhárító csoportok figyelmébe. A Palo Alto Networks Unit 42 kutatói 2021 júliusában írtak egy hirdetésről, amelyet az általuk "Reddit-szerű dark webes vitafórumként" jellemzett Dread-en láttak egy AvosLocker nevű új RaaS-ről, amely felvázolta a zsarolóprogram jellemzőit, és tudatta a kártevőt kihasználó partnerekkel, hogy az AvosLocker üzemeltetői fogják kezelni a tárgyalási és zsarolási gyakorlatot.
Az AvosLocker mögött álló csoport - amelyet "Avos"-nak neveztek el - szintén az XSS orosz fórumon próbált embereket toborozni. A zsarolóprogram kezdetben Windows-alapú gépeket célzott meg, de Ghanshyam More, a Qualys kiberbiztonsági cég vezető kutatója a hónap elején egy blogbejegyzésben azt írta, hogy az AvosLocker egy új változata Linux rendszereket támadott.
"Nemrégiben hozzáadták a Linux rendszerek titkosításának támogatását, kifejezetten a VMware ESXi virtuális gépeket célozva" - írta More. "Ez lehetővé teszi a banda számára, hogy a szervezetek szélesebb körét vegye célba. Emellett rendelkezik az ESXi VM-ek megölésének képességével is, ami különösen kellemetlenné teszi". Az AvosLocker csoport technikai részleteinek felvázolásakor az amerikai ügynökségek megjegyezték, hogy a zsarolóprogram az áldozat szerverén lévő fájlokat titkosítja, majd ".avos" kiterjesztéssel átnevezi, váltságdíjfizetési feljegyzéseket helyez el a szerveren, és egy AvosLocker .onion fizetési oldalra mutató linket kínál. Egyes partnerek a Monero kriptovalutában történő fizetést részesítik előnyben, bár a Bitcoin is elfogadott 10 százalék és 25 százalék közötti felárért.
Emellett egyes támadók felhívják az áldozatokat, hogy a fizetési oldalra irányítsák őket, ahol tárgyalhatnak a fizetésről. Egyes zsarolóvíruscsoportok felajánlják, hogy tárgyalnak az áldozatokkal. A Trend Micro kiberbiztonsági cég szerint ezek közé tartozik az AvosLocker mellett a Conti, a Lockbit 2.0, a Hive és a HelloKitty is.
"Mindegyik zsarolóvíruscsoport egyedi áldozat-azonosítókat használ, hogy tárgyalást és "támogatást" ajánljon fel, miközben az áldozat megpróbálja visszaállítani az adatait" - írták a Trend Micro kutatói egy tavalyi blogbejegyzésben. A RaaS fenyegető csoportok korábban e-mailben kommunikáltak az áldozatokkal.
Azonban áttérnek arra, hogy egyedi áldozat-azonosítókat használjanak az egyes áldozatszervezetek számára, ezeket az azonosítókat a váltságdíj-felhívás részeként használják, és magát a váltságdíjfájlt kényszerítik arra, hogy feltöltsék a csoport Tor vagy cleartext weboldalára, hogy az áldozat hozzáférhessen egy adott csevegőoldalhoz, mondták a kutatók.
A szövetségi tanácsadás szerint az AvosLocker esetében a fenyegető szereplők azzal fenyegetnek, hogy az áldozat kiszivárogtatott adatait nyilvános kiszivárogtató oldalakon teszik közzé, ha nem tárgyalnak a váltságdíjról vagy nem fizetik ki azt. A nyilvános kiszivárogtató webhely felsorolja a zsarolóprogram áldozatait, valamint az áldozat hálózatából állítólagosan ellopott adatok mintáját, így a szervezetek további bizonyítékot kapnak a kompromittálódásról.
A fenyegetések nem mindig állnak meg itt. Az AvosLocker egyes társvállalatai felhívják az áldozatokat, és nemcsak az adatok közzétételével fenyegetőznek, ha nem fizetik ki a váltságdíjat, hanem azzal is, hogy DDoS (distributed denial-of-service) támadásokat hajtanak végre ellenük.
A LokiLocker zsarolóprogram-családot beépített törlőprogrammal észlelték.
A BlackMatter zsarolószoftver banda azt mondja, hogy feloszlik - ismét - az ukrajnai letartóztatások után
Szétszedve: A dropper-as-a-service rosszindulatúak fizetnek azért, hogy a rosszindulatú szoftvereket potenciálisan 1000 áldozatra juttassák el.
Kiszivárgott a Conti ransomware banda forráskódja
Az AvosLocker kiszivárogtató webhelye az állítólagos áldozatok országainak széles skáláját sorolja fel, köztük az Egyesült Államokat, Kanadát, Németországot, Spanyolországot, Belgiumot, az Egyesült Királyságot, Szíriát, Szaúd-Arábiát és Tajvant. A kritikus infrastruktúra egyre népszerűbb célpontja a zsarolóvírus-bandáknak. Tavaly két nagy horderejű esetben a gázszolgáltató Colonial Pipeline-t támadta meg a DarkSide csoport - 4,4 millió dolláros váltságdíjat fizetve -, míg a globális hússzállító JBS Foods 11 millió dollárt fizetett a REvilnek.
Az FBI a hónap elején egy riasztásban közölte, hogy a Ragnar Locker zsarolóvírus fenyegető csoport legalább 52 kritikus infrastruktúrájú szervezetet támadott meg az Egyesült Államokban a gyártási, energiaipari, pénzügyi szolgáltatási, kormányzati és informatikai szektorban.