Новости ФБР и CISA выпустили рекомендации для противостояния шифровальщику AvosLocker

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Эксперты выявили классическую стратегию атаки и поделились ею со всеми организациями.


kb4m7ix4jo6ncinumnayjsknwres3dw3.jpg


В Для просмотра ссылки Войди или Зарегистрируйся Федерального бюро расследований (ФБР) и Агентства по кибербезопасности и инфраструктурной безопасности США ( CISA ) была предоставлена новая информация об инструментах, используемых злоумышленниками, связанных с шифровальщиком AvosLocker, о котором ФБР Для просмотра ссылки Войди или Зарегистрируйся пару недель назад.

Известно, что аффилиаты AvosLocker используют легитимное ПО и открытый исходный код для удалённого администрирования систем и похищения данных из корпоративных сетей.

ФБР зафиксировало использование настраиваемого PowerShell , веб-оболочек и пакетных скриптов для передвижения по сети, увеличения привилегий и отключения систем безопасности.

Среди инструментов в обновлённом сообщении ведомств упоминаются следующие:

  • программы удалённого администрирования: Splashtop Streamer , Tactical RMM , PuTTy , AnyDesk , PDQ Deploy , Atera Agent;
  • утилиты для туннелирования сети открытого источника: Ligolo , Chisel;
  • фреймворки эмуляции атакующих: Cobalt Strike и Sliver;
  • утилиты для сбора данных: Lazagne и Mimikatz;
  • инструменты для эксфильтрации данных: FileZilla и Rclone .
Также в арсенале хакеров были замечены Notepad++, RDP Scanner , 7-zip и встроенные инструменты Windows , такие как PsExec и Nltest.

Другим общим компонентом атак является вредоносное ПО под названием «NetMonitor.exe». Этот компонент выдаёт себя за легитимный процесс и действует как обратный прокси, позволяя злоумышленникам подключаться к скомпрометированной сети. Специалисты из ФБР даже создали отдельное правило YARA для обнаружения NetMonitor в сети.

«Аффилиаты AvosLocker скомпрометировали организации во многих секторах критически важной инфраструктуры в Соединённых Штатах, затронув среды Windows, Linux и VMware ESXi», — сообщают эксперты из ФБР и CISA.

Ведомства рекомендуют организациям внедрять механизмы продвинутого контроля приложений, включая белые списки, а также предотвращать использование портативных версий несанкционированных утилит.

К числу лучших практик по защите от угроз также относятся ограничение использования протокола удалённых рабочих столов (RDP), внедрение многофакторной аутентификации (MFA) и применение принципа наименьших привилегий. Организациям следует отключить командную строку и поддержку скриптов PowerShell для пользователей, которым они не требуются в ходе работы.

Регулярное обновление программного обеспечения и кода, использование длинных паролей, хранение их в хэшированном формате, а также сегментирование сети — также остаются постоянными рекомендациями от экспертов по безопасности.

Текущее руководство по AvosLocker дополняет предыдущее, представленное ФБР ещё Для просмотра ссылки Войди или Зарегистрируйся . В нём отмечалось, что в некоторых атаках программы-вымогателя AvosLocker использовались уязвимости на локальных серверах Microsoft Exchange.
 
Источник новости
www.securitylab.ru

Похожие темы