گروه باج افزاری AvosLocker که از سال ۲۰۲۱ فعالیت خود را آغاز کرده است، با استفاده از نرمافزارهای معتبر و ابزارهای متنباز مدیریت سیستم از راه دور، به شبکههای سازمانها نفوذ میکند و با تهدید به فاش کردن دادههای سرقت شده، از کاربران درخواست باج میکند. این گروه در قالب یک باجافزار به عنوان سرویس RaaS (Ransomware as a Service) عمل میکند و به دنبال سودآوری هر چه بیشتر است. AvosLocker نام باجافزاری است که توسط این گروه پخش میشود.
گروه باج افزاری AvosLocker در سال ۲۰۲۳ مشغول به انجام حملات علیه بخشهای زیرساخت حیاتی در کشورهای مختلف شده که برخی از آنها تا ماه می ۲۰۲۳ شناسایی شده بودند. در بازه زمانی دسامبر ۲۰۲۱ تا فوریه ۲۰۲۲، AvosLocker حدود چهار هزار سرویسRDP را مورد هدف قرار داد و حوزههای مختلف اقتصادی، صنعتی، درمان، تولید، سازمانهای دولتی و آموزشی قربانیان این حملات شدند.
باید توجه داشت که باجافزار AvosLocker از روشهای مختلفی جهت نفوذ به شبکهها استفاده میکند که برخی از روشهای شناسایی شده عبارتند از:
- استفاده از فیشینگ، سرقت گذرواژه RDP یا حملات brute force
- استفاده از نقص Log4j جهت دریافت باجافزار بر روی سیستم قربانی
- استفاده از نرمافزار Cobalt Strike جهت حرکت در شبکه و دریافت باجافزار
توصیههای امنیتی
CISA در تاریخ 11 اکتبر 2023 مجددأ در خصوص افزایش حملات باج افزار AvosLocker هشدار صادر کرد. این سازمان توصیه کرده است که سازمانهای زیرساخت حیاتی تدابیر لازم را جهت کاهش تأثیر حملات باجافزار AvosLocker و سایر حملات باجافزاری اتخاذ کرده و رعایت تمهیدات امنیتی زیر را در دستور کار خود قرار دهند:
- قطع دسترسی به سرویس RDP و سایر سرویسهای دسکتاپ از راه دور
- امن کردن PowerShell و یا محدود کردن استفاده از آن
- بهروزرسانی سیستمعامل و نرمافزارها به آخرین نسخه و اعمال بهروزرسانیهای رفع آسیبپذیری به صورت منظم
- پشتیبانگیری منظم از دادهها و نگهداری آنها در محلهای امن
منابع خبر:
[1] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a.
[2] https://www.avertium.com/resources/threat-reports/in-depth-look-at-avoslocker-ransomware.
[3] https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html.
[4] https://www.cisa.gov/news-events/alerts/2023/03/02/fbi-and-cisa-release-stopransomware-royal-ransom….
[5]https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2928709/cisa-fbi-nsa-and-internation….
[6]https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2784757/cisa-fbi-and-nsa-release-con….
- 216