美國CISA及FBI聯合示警AvosLocker 勒索軟體針對關鍵基礎設施的攻擊

在近期CISA 和 FBI聯合安全諮詢報告表示，AvosLocker 從5 月開始就對美國多個關鍵產業，使用了多種策略、技術和程序(TTP)，包含受信任的本機和開源軟體，進行雙重勒索攻擊。

保險公司數據也發現，AvosLocker的攻擊數量相較去年增加80%。

AvosLocker 不分作業系統，可以對Windows、Linux和 VMWare ESXi 環境進行攻擊。值得注意的是它使用了多種合法和開源工具來危害受害者。其中包括RMM，如用於遠端存取的 AnyDesk、用於網路隧道的 Chisel、用於命令和控制 (C2) 的 Cobalt Strike、用於竊取憑證的 Mimikatz 以及檔案存檔器 7zip 等。

AvosLocker也常使用寄生攻擊( live-off-the-land) 策略，利用本機 Windows 工具和功能（例如 Notepad++、PsExec 和 Nltest）在遠端主機上執行操作。

FBI 還觀察到 AvosLocker 附屬公司使用自訂 Web shell 來實現網路存取，並運行 PowerShell 和 bash 腳本進行橫向移動、權限升級和停用防毒軟體。入侵後，AvosLocker 會鎖定並竊取文件，進行後續勒索。

為了防範 AvosLocker 及其同類威脅，CISA建議實施標準網路安全最佳實踐，例如網路分段、多因素身份驗證和復原計畫。並強烈建議限制或停用遠端桌面服務、檔案和印表機共用服務以及命令列和腳本活動和權限。

專家表示如同21及22年，第四季度通常是勒索攻擊的最高峰，企業組織需積極防範。

本文轉載自DarkReading。