21/03/22
ФБР предупредило об использовании злоумышленниками вымогательского ПО AvosLocker в атаках на предприятия критической инфраструктуры США.
«AvosLocker представляет собой основанную на партнерстве группировку Ransomware as a Service (RaaS), атакующую жертв в различных секторах критической инфраструктуры в США, включая, но не ограничиваясь, финансовыми сервисами, критическим производством и правительственными учреждениями. В результате индикаторы компрометации AvosLocker варьируются от индикаторов, характерных конкретно для вредоносного ПО AvosLocker, до индикаторов, характерных для конкретного партнера, ответственного за проникновение», - сообщается в документе ФБР.
AvosLocker впервые был обнаружен летом 2021, когда его создатели активно рекламировали свой сервис на подпольных форумах и приглашали партнеров. Пик его активности пришелся на ноябрь-декабрь прошлого года, однако до сих пор ежемесячно жертвами вымогателя становятся несколько организаций.
Операторы AvosLocker даже звонят своим жертвам, чтобы направить их на сайт, где проходят переговоры по поводу уплаты выкупа. Первыми такой подход начали практиковать вымогатели Sekhmet, Maze, Ryuk и Conti.
В некоторых случаях в ходе переговоров вымогатели угрожают и осуществляют DDoS-атаки, если жертва не хочет сотрудничать.
Для того чтобы не стать жертвами AvosLocker, организациям рекомендуется осуществлять сегментацию сети, регулярно делать резервные копии offline, обновлять ПО и в особенности Microsoft Exchange Server, поскольку именно это ПО операторы AvosLocker используют в качестве вектора атак.
