3月17日,美国联邦调查局、美国财政部金融犯罪执法网络和财政部发布了关于AvosLocker的联合网络安全咨询,AvosLocker是一个基于勒索软件即服务(RaaS)的勒索软件组织。根据该公告,AvosLocker针对了多个关键基础设施领域的受害者,包括金融、关键制造业和政府设施。
AvosLocker从事一些所谓的“双重勒索”。这些攻击首先加密文件,并要求赎金以解锁文件;然后,攻击者威胁要在暗网上泄露受害者的文件。
AvosLocker泄露网站发布了许多被盗受害者数据的样本。该组织声称从美国、叙利亚、沙特阿拉伯、德国、西班牙、比利时、土耳其、阿拉伯联合酋长国、英国、加拿大、中国和台湾的目标中窃取了数据。如果受害者不支付赎金,AvosLocker会威胁将数据出售给未指定的第三方。
AvosLocker勒索软件如何运作
AvosLocker勒索软件首先加密受害者服务器上的文件。然后使用.avos扩展名重命名这些文件。接下来,威胁行为者向受害者发送赎金通知,并附上一个链接,将他们引导至AvosLocker的暗网支付网站(.onion站点),并要求首选门罗币支付;然而,比特币也可以接受,但要收取10-25%的溢价。
FBI还表示,AvosLocker攻击者可能会打电话给受害者,将他们引导到赎金支付网站。一些受害者报告说,AvosLocker威胁参与者愿意协商减少赎金支付。
与AvosLocker相关的漏洞
多份报告显示,企业内部的微软Exchange服务器漏洞可能是入侵的媒介。一些具体的漏洞包括与CVE-2021-31207、CVE-2021-34523、CVE-2021-34473和CVE-2021-26855相关的Proxy Shell漏洞。入侵载体的复杂程度可能与发动攻击的AvosLocker关联公司的技能组合有关。
缓解AvosLocker威胁
为了阻止AvosLocker攻击,联合公告提供了多种缓解策略。它们包括:
将敏感或专有数据和服务器的多个副本保存在物理上独立、分割和安全的位置(硬盘、存储设备、云)
实施网络分段,维护离线的、受密码保护的数据备份。这确保了在发生攻击时的有限中断
将关键数据的副本与数据所在的系统分开存放
在所有主机上安装和更新防病毒软件,并实现实时检测
及时安装操作系统、软件和固件的更新和补丁,并保持对新的更新和补丁的及时了解
查看域控制器、服务器、工作站和活动目录中的新用户或未知用户帐户
以最低权限审核和配置用户帐户。仅将管理员权限限制给需要它的人,并且只要他们需要它
禁用未使用的端口
考虑为从群组外部收到的电子邮件添加电子邮件标语
禁用收到的电子邮件中的所有超链接
尽可能使用多重身份验证
使用强密码,经常更改密码,不要重复使用网络系统和帐户的密码
需要管理员凭据才能安装软件
仅使用安全网络,避免使用公共Wi-Fi网络。考虑安装和使用虚拟专用网络。
专注于对勒索软件和网络钓鱼诈骗的认识和培训。
针对勒索软件的其他资源
联邦调查局还提供其他资源来帮助打击勒索软件。这些资源包括CISA的Stop Ransomware网站和CISA的Ransomware指南。