2022年3月,美国联邦调查局 (FBI) 发布声明表示AvosLocker 勒索软件被用于针对美国多个关键基础设施部门的攻击中。该攻击针对美国多个关键基础设施部门,包括但不限于金融服务、关键制造和政府设施部门。
据统计,该组织已对位于美国与英国的法律公司、西班牙物流企业、比利时房地产公司、土耳其控股公司、叙利亚交通机构,以及美国俄亥俄州政府发动了攻击,并且公开了部分受害者文件。
2021年9月4日,AvosLoker团伙将美国的太平洋城市银行添加至其泄密站点,并发布了部分屏幕截图作为其发动黑客攻击的证据。在泄露数据的站点上,犯罪团伙称:“太平洋城市银行为企业和消费者提供卓越的银行和金融服务,但他们的网络安全性很糟糕,如果他们拒绝谈判,我们将泄露掌握的所有数据,附件是一些被泄露的文件。”
2021年10月20日,AvosLocker团伙在暗网的网站上发布消息,宣称其从技嘉的网络下载机密文件,其中包含与安全企业Barracuda Networks的保密协议(NDA)。该组织表示如果技嘉拒绝谈判,他们会泄露更多资料。本次泄密资料涉及员工薪资明细、用户名与密码、与合作公司的保密协议、交易资料、业务出差费用明细等。
2022年3月,联邦调查局 (FBI) 发布声明表示AvosLocker 勒索软件被用于针对美国多个关键基础设施部门的攻击中。该攻击针对美国多个关键基础设施部门,包括但不限于金融服务、关键制造和政府设施部门。
据统计,该组织已对位于美国与英国的法律公司、西班牙物流企业、比利时房地产公司、土耳其控股公司、叙利亚交通机构,以及美国俄亥俄州政府发动了攻击,并且公开了部分受害者文件。
Avoslocker是一个“勒索软件即服务”(RaaS)的勒索团伙,于2021年7月被首次披露,该组织主要通过暗网的讨论论坛Dread进行服务宣传,其勒索文档中包括用于识别受害者的ID,以及指导受害者访问Avoslocker Tor站点进行付款和数据恢复的操作指南。
在某些情况下,AvosLocker受害者会接到AvosLocker组织的电话,并威胁说要把偷来的数据发布到网上。在某些情况下,AvosLocker的参与者会在谈判期间威胁并执行分布式拒绝服务(DDoS)攻击。如果受害者不谈判或支付赎金,AvosLocker组织就会在AvosLocker的公开泄露网站上公布受害者外泄的数据。
AvosLocker 在 2021 年11 月至 2021 年 12 月期间的活动激增,并且根据厂商ID-Ransomware的观测数据,该组织目前每个月仍在不断进行攻击。
图1:AvosLocker勒索软件活动分布
该组织以金融服务、关键制造业、政府设施、物流、地产、交通等关键基础设施部门为主要攻击目标。目前已对美国、叙利亚、沙特阿拉伯、德国、西班牙、比利时、土耳其、阿联酋、英国、加拿大、中国等地区发动了勒索攻击。
AvosLocker勒索软件是用c++编写的一个多线程PE文件,作为一个控制台应用程序运行,该文件包含可选的命令行参数,攻击者可以提供这些参数来启用/禁用某些特性。
该勒索软件通过创建互斥体作为标记,以避免感染系统两次。在加密之前,勒索软件会将可访问的驱动器和枚举文件映射到目录中,之后使用AES-256算法进行文件加密,同时在每个目录中创建一个名为“GET_YOUR_FILES_BACK.txt”的勒索通知文件,其中加密文件扩展名为“.avos”、“.avos2”或“AvosLinux”。
在某些情况下,受感染服务器的桌面壁纸上会显示通知文件中的文本。“GET_YOUR_FILES_BACK.txt”文件会将受害者导向一个通过TOR浏览器访问的洋葱网站。
勒索软件通过修改受害者系统的Windows注册表“run”键和使用计划任务实现持久化。
图2:勒索文件内容
黑客工具使用:
1、Cobalt Strike
2、Encoded PowerShell scripts
3、PuTTY Secure Copy client tool“pscp.exe”
4、Rclone
5、AnyDesk
6、Scanner
7、Advanced IP Scanner
8、WinLister
漏洞使用:
1、CVE-2021-26855
2、CVE-2021-31207
3、CVE-2021-34523
4、CVE-2021-34473
1、实施恢复计划,在物理上独立、分段且安全的位置(即硬盘、存储设备和云)维护和保留敏感或专有数据和服务器的多个副本。
2、定期备份数据,使用密码保护离线备份副本,确保不能从数据所在系统中修改或删除关键数据的副本。
3、在所有主机上安装并定期更新防病毒软件,并开启实时检测功能。
4、更新/补丁发布后立即安装更新/补丁操作系统、软件和固件。
5、检查域控制器、服务器、工作站和活动目录,以发现新的或未识别的用户账户。
6、对具有管理权限的用户账户进行审计,并在最小权限的情况下配置访问控制。
7、禁用未使用的端口。
8、给来自组织外部的电子邮件标识。
9、禁用接收邮件中的超链接。
10、尽可能使用多因素身份验证。
11、提高密码强度,并定期更改系统和账户的密码,避免多个账户使用同一密码。
12、安装软件需要管理员凭证。
13、避免使用公共Wi-Fi网络,并考虑安装和使用VPN。
14、注重网络安全意识和培训。定期向员工提供信息安全准则及技能培训,以及出现的整体性网络安全风险及漏洞
根据互联网犯罪投诉中心(IC3)2021年互联网犯罪报告,勒索软件团伙去年已经攻击了至少649个美国关键基础设施组织的网络。
根据《2021年全球工控安全态势报告》内容可知,2021年全球80%的关键基础设施遭受勒索软件攻击,其中约一半的系统受到了影响,可以说关键信息基础设施已然成为了勒索攻击下的“重灾区”,保障关键信息基础设施的网络安全已是迫在眉睫之事。
由于关键信息基础设施处于国家正常运转与人民日常生活中的特殊地位,一旦其遭受攻击,带来的破坏不仅是针对某个企业,而且将顺着产业链上下游扩散进而导致一系列连锁反应。
前有美国遭受勒索攻击导致其全国进入紧急状态,后有丰田因勒索攻击导致全球产量减少约三分之一,保障关键信息基础设施安全的必要性已不言而喻,面对此种现实境况,企业应该有与之相应的整体保护方案和威胁处理措施。
关键信息基础设施安全保护,除了基础的合规性要求外,更需要建立风险评估、安全防护、监测预警、应急处置以及抵御大规模网络攻击和威胁的技术对抗能力等,因此关键信息基础设施安全防护不能仅靠简单的产品堆砌,在现如今复杂的网络环境和外部条件下,必须在相对完善的网络安全防护体系下才更有可能防止安全威胁从防护短板乘虚而入。
六方云在满足关保相关要求和企业安全能力建设需求的基础上,提出了以“安全保卫体系”、“安全保护体系”、“安全保障体系”为核心的一体化网络安全综合防控体系。
图3:六方云一体化网络安全综合防控体系
安全保卫体系:关基运营者需要配合公安机关和有关部门,开展关键信息基础设施的违法犯罪侦查打击工作,同时积极建立与各相关方的协同联动和通报预警机制,共同保卫关键信息基础设施安全。
安全保护体系:关键信息基础设施安全保护需要在满足网络安全等级保护基本要求、基线要求和合规要求的基础上,采取先进的技术和重要措施,贯穿关键信息基础设施的整个生命周期进行加强保护和重点保护。
安全保障体系:为保障关基保护工作顺利有序开展,关基运营者必须从组织领导、人才培养、经费保障等方面提供后备支撑。
4、防范勒索病毒入侵破坏关基设施的建议
六方云针对勒索病毒立体化防护方案:
事前-安全评估与预防
1、制定网络安全应急预案
2、关键系统和数据定期备份
3、定期评估风险,及时修补漏洞
4、加强企业内部网络安全管理
事中-安全防护与监测预警
1、企业互联网出口安全防护
2、办公主机和服务器病毒防护
3、云安全资源池控制
4、管理网和生产网隔离
5、各中心内的监测与防护
6、全网安全态势可视和一体化运营
事后-应急处置与加固
1、确定受影响系统,并立即将其隔离
2、排查勒索病毒感染范围
3、确定勒索病毒种类,进行溯源分析
4、数据备份与应急恢复
企业管理网的产品/服务组合:
企业云数据中心场景的产品/服务组合:
企业工业网络场景的产品/服务组合:
关键信息基础设施保护是各国网络安全战略的重中之重,随着经济信息化、数字化的高速发展,政府部门、能源、化工、城市交通、供水供电等越来越多的重要领域都形成了对网络的深度依赖,新的攻击手段不断出现,关键信息基础设施系统脆弱性日渐凸显。
六方云作为工业安全的新生力量,坚持“以客户为中心”,始终提醒用户做好关键信息基础设施保护工作,这不仅关系到政企自身的安全和业务的稳定运行,更与国计民生、国家安全息息相关。
