FBI dan CISA Memperingatkan Meningkatnya Serangan Ransomware AvosLocker Terhadap Infrastruktur Kritis

 

Geng ransomware AvosLocker telah dikaitkan dengan serangan terhadap sektor infrastruktur penting di A.S., dan beberapa di antaranya terdeteksi baru-baru ini pada Mei 2023. Hal ini berdasarkan pada penasihat keamanan siber gabungan baru yang dirilis oleh Badan Keamanan Siber dan Infrastruktur AS (CISA) dan Biro Investigasi Federal (FBI) yang merinci taktik, teknik, dan prosedur operasi ransomware-as-a-service (RaaS) (TTP). ).

 “Afiliasi AvosLocker mengkompromikan jaringan organisasi dengan menggunakan perangkat lunak yang sah dan alat administrasi sistem jarak jauh sumber terbuka,” kata badan tersebut. “Afiliasi AvosLocker kemudian menggunakan taktik pemerasan data berbasis eksfiltrasi dengan ancaman kebocoran dan/atau penerbitan data curian.” Jenis ransomware ini pertama kali muncul pada pertengahan tahun 2021, dan sejak itu memanfaatkan teknik canggih untuk menonaktifkan perlindungan antivirus sebagai tindakan penghindaran deteksi.

 Ini mempengaruhi lingkungan Windows, Linux, dan VMware ESXi. Ciri utama serangan AvosLocker adalah ketergantungan pada alat sumber terbuka dan taktik hidup di luar lahan (LotL), sehingga tidak meninggalkan jejak yang dapat mengarah pada atribusi. Juga digunakan utilitas sah seperti FileZilla dan Rclone untuk eksfiltrasi data serta alat terowongan seperti Chisel dan Ligolo.

Komando dan kontrol (C2) dilakukan melalui Cobalt Strike dan Sliver, sementara Lazagne dan Mimikatz digunakan untuk pencurian kredensial. Serangan ini juga menggunakan skrip PowerShell dan Windows Batch khusus untuk pergerakan lateral, peningkatan hak istimewa, dan pelucutan perangkat lunak keamanan.

 “Afiliasi AvosLocker telah mengunggah dan menggunakan web shell khusus untuk mengaktifkan akses jaringan,” kata agensi tersebut. Komponen baru lainnya adalah executable bernama NetMonitor.exe yang menyamar sebagai alat pemantauan jaringan namun sebenarnya berfungsi sebagai proxy terbalik yang memungkinkan pelaku ancaman terhubung ke host dari luar jaringan korban. CISA dan FBI merekomendasikan organisasi infrastruktur penting untuk menerapkan mitigasi yang diperlukan guna mengurangi kemungkinan dan dampak ransomware AvosLocker dan insiden ransomware lainnya.

 Hal ini termasuk mengadopsi kontrol aplikasi, membatasi penggunaan RDP dan layanan desktop jarak jauh lainnya, membatasi penggunaan PowerShell, mewajibkan otentikasi multi-faktor yang tahan terhadap phishing, melakukan segmentasi jaringan, menjaga semua sistem tetap mutakhir, dan memelihara pencadangan offline secara berkala.

 Perkembangan ini terjadi ketika Mozilla memperingatkan serangan ransomware yang memanfaatkan kampanye maliklan yang mengelabui pengguna agar menginstal Thunderbird versi trojan, yang pada akhirnya mengarah pada penyebaran malware enkripsi file dan keluarga malware komoditas seperti IcedID.

 Serangan Ransomware pada tahun 2023 mengalami lonjakan besar, bahkan ketika pelaku ancaman bergerak cepat untuk menyebarkan ransomware dalam waktu satu hari setelah akses awal di lebih dari 50% keterlibatan, menurut Secureworks, turun dari rata-rata waktu tunggu sebelumnya yaitu 4,5 hari pada tahun 2022 .

Terlebih lagi, di lebih dari 10 persen insiden, ransomware disebarkan dalam waktu lima jam. “Pendorong berkurangnya waktu tunggu median kemungkinan besar disebabkan oleh keinginan pelaku kejahatan siber untuk mendapatkan peluang deteksi yang lebih rendah,” kata Don Smith, wakil presiden intelijen ancaman di Unit Penanggulangan Ancaman Secureworks.

 “Akibatnya, para pelaku ancaman fokus pada implementasi operasi yang lebih sederhana dan cepat, dibandingkan peristiwa enkripsi multi-situs berskala perusahaan yang jauh lebih kompleks. Namun risiko dari serangan-serangan tersebut masih tinggi.” Eksploitasi aplikasi publik, kredensial yang dicuri, malware siap pakai, dan layanan jarak jauh eksternal telah muncul sebagai tiga vektor akses awal terbesar untuk serangan ransomware.

 Berdasarkan panduan terbaru dari CISA, protokol desktop jarak jauh (RDP), protokol transfer file (FTP), TELNET, Blok Pesan Server (SMB), dan Komputasi Jaringan Virtual (VNC) adalah beberapa kesalahan konfigurasi dan kelemahan yang umum diketahui. dipersenjatai dalam kampanye ransomware. Yang lebih parah lagi, model RaaS dan ketersediaan kode ransomware yang bocor telah menurunkan hambatan masuk bahkan bagi penjahat pemula, menjadikannya jalan yang menguntungkan untuk mendapatkan keuntungan ilegal.

 “Meskipun kita masih melihat nama-nama terkenal sebagai pelaku ancaman paling aktif, kemunculan beberapa kelompok ancaman baru dan sangat aktif memicu peningkatan signifikan dalam jumlah korban dan kebocoran data,” tambah Smith.

 “Meskipun terdapat tindakan penghapusan dan sanksi yang sangat ketat, pelaku kejahatan siber adalah ahli dalam beradaptasi, sehingga ancamannya terus meningkat.”

Microsoft, dalam Laporan Pertahanan Digital tahunannya, mengatakan 70% organisasi yang menghadapi ransomware yang dioperasikan oleh manusia memiliki kurang dari 500 karyawan, dan 80 hingga 90 persen dari seluruh serangan berasal dari perangkat yang tidak dikelola.

 Data telemetri yang dikumpulkan oleh perusahaan menunjukkan bahwa serangan ransomware yang dioperasikan manusia telah meningkat lebih dari 200 persen sejak September 2022. Magniber, LockBit, Hive, dan BlackCat mencakup hampir 65 persen dari seluruh serangan ransomware.

 Selain itu, sekitar 16 persen serangan ransomware yang berhasil dilakukan manusia baru-baru ini melibatkan enkripsi dan eksfiltrasi, sementara 13 persen hanya menggunakan eksfiltrasi. “Operator Ransomware juga semakin mengeksploitasi kerentanan pada perangkat lunak yang kurang umum, sehingga semakin sulit untuk memprediksi dan mempertahankan diri dari serangan mereka,” kata raksasa teknologi itu. “Hal ini memperkuat pentingnya pendekatan keamanan holistik.”

 Redmond mengatakan pihaknya juga mengamati “peningkatan tajam” dalam penggunaan enkripsi jarak jauh selama serangan ransomware yang dilakukan manusia, rata-rata mencapai 60 persen selama setahun terakhir.

 “Alih-alih menyebarkan file berbahaya pada perangkat korban, enkripsi dilakukan dari jarak jauh, dengan proses sistem melakukan enkripsi, yang membuat remediasi berbasis proses menjadi tidak efektif,” jelas Microsoft. “Ini adalah tanda bahwa penyerang berevolusi untuk semakin meminimalkan jejak mereka.”