Le FBI met en garde contre les cyberattaques utilisant le rançongiciel AvosLocker

Le groupe AvosLocker ransomware as a Service (RaaS) a ciblé des secteurs d’infrastructure critiques aux États-Unis, tels que les services financiers, la fabrication et les installations gouvernementales, a déclaré le FBI.

Image : Vitalii Gulenok, Getty Images/iStockPhoto

Le FBI et le Trésor américain conseillent aux organisations de se méfier d’une souche spécifique de rançongiciels destinés aux secteurs des infrastructures critiques aux États-Unis. Publié jeudi dernier, un conseil conjoint en cybersécurité Publié par les deux agences, met en garde contre un groupe affilié RaaS (ransomware as a Service) connu sous le nom d’AvosLocker.

Les victimes comprennent, mais sans s’y limiter, les services financiers, la fabrication et les agences gouvernementales. Le groupe affirme avoir ciblé des organisations non seulement aux États-Unis, mais aussi au Royaume-Uni, au Canada, en Chine, à Taïwan, en Allemagne, en Espagne, en Arabie saoudite et dans d’autres pays.

VOIR: Comment devenir un pro de la cybersécurité : un aide-mémoire (TechRepublic)

Ce ransomware particulier crypte les fichiers sur le serveur d’une victime, en les renommant avec une extension .avos, avos2 ou AvosLinux. Nommée GET_YOUR_FILES_BACK.txt, la note de rançon indique aux organisations victimes que leurs fichiers et documents confidentiels ont été chiffrés et qu’elles doivent payer pour une clé et une application de déchiffrement. Les victimes sont ensuite invitées à accéder à un site de paiement AvosLocker .onion pour effectuer le paiement de la rançon en Monero (ou en Bitcoin avec une prime de 10 % à 25 %).

Remarque sur le rançongiciel AvosLocker.
Note AvosLocker Ransom de décembre 2021. Source : FBI et département du Trésor américain

Selon le FBI, des membres du groupe ransomware ont en effet appelé des victimes par téléphone pour les diriger vers le site de paiement et même négocier pour réduire le paiement. Au cours de ces négociations, les cybercriminels menacent parfois de lancer des attaques par déni de service distribué (DDoS). Les organisations qui ne paient pas la rançon sont averties que leurs données confidentielles seront divulguées via le blog de communiqués de presse du groupe.

Les attaques de ransomware AvosLocker présentent des indicateurs spécifiques de compromission (IoC) comme un indice qu’une organisation a été infectée. Ces IoC incluent la modification des clés “Exécuter” du registre Windows et l’utilisation de tâches planifiées. L’avis a également répertorié les outils suivants associés à ces attaques :

En outre, plusieurs victimes ont révélé des vulnérabilités dans les systèmes Microsoft Exchange Server sur site comme une voie d’intrusion. Les vulnérabilités de Proxy Shell associées à CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473ainsi que CVE-2021-26855.

“Ce type d’avis tend à refléter deux choses : l’augmentation du nombre d’attaques perpétrées par un groupe et la disponibilité d’indicateurs cohérents de compromission ou une compréhension du modus operandi du groupe”, a déclaré Oliver, directeur technique de Vectra AI. .Tavakoli. “Le ransomware AvosLocker est une variante assez standard de la recette bien usée du package de ransomware – trouvez les fichiers qui vous intéressent, exfiltrez-les, cryptez ceux de l’environnement cible, déposez une note de rançon, etc.”

VOIR: Politique de sensibilisation et de formation à la sécurité (TechRepublic Premium)

Pour aider les organisations à mieux se protéger contre une attaque de rançongiciel AvosLocker, l’avis propose les conseils suivants :

  • Configurez un plan de récupération pour stocker plusieurs copies de données sensibles ou propriétaires dans un emplacement sécurisé et segmenté séparé de votre réseau principal.
  • Segmentez votre réseau et conservez des sauvegardes hors ligne de vos données afin de minimiser toute interruption de votre activité en cas d’attaque.
  • Sauvegardez régulièrement vos données et protégez par mot de passe toutes les sauvegardes hors ligne. Assurez-vous que les sauvegardes de vos données critiques ne peuvent pas être modifiées ou supprimées.
  • Mettez régulièrement à jour les logiciels antivirus et de sécurité sur tous les hôtes et mettez en œuvre une détection en temps réel.
  • Mettez à jour vos systèmes d’exploitation, logiciels et micrologiciels avec les derniers correctifs de sécurité dès qu’ils sont disponibles.
  • Passez en revue vos contrôleurs de domaine, serveurs, postes de travail et répertoires actifs pour tout compte nouveau ou inconnu.
  • N’accordez pas à tous les utilisateurs des privilèges administratifs. Configurez vos contrôles d’accès avec le moindre privilège à l’esprit. Auditez tous les comptes d’utilisateurs disposant de privilèges d’administration.
  • Désactivez tous les ports inutilisés.
  • Envisagez d’afficher une bannière pour tout e-mail reçu en dehors de votre organisation.
  • Désactivez les hyperliens dans les e-mails reçus.
  • Utilisez l’authentification multifacteur chaque fois que possible.
  • Utilisez des mots de passe forts et sécurisés pour vos systèmes et comptes réseau et modifiez-les régulièrement.
  • Exiger les informations d’identification de l’administrateur pour installer le logiciel.
  • Utilisez des réseaux sécurisés et des VPN et évitez d’utiliser les réseaux Wi-Fi publics.
  • Offrez régulièrement aux utilisateurs une formation à la cybersécurité en mettant l’accent sur les risques et les vulnérabilités émergents, tels que les ransomwares et les attaques de phishing.

Leave a Comment