FortiGuard Labs è a conoscenza del fatto che un avviso congiunto sul malware AvosLocker è stato recentemente pubblicato dal Federal Bureau of Investigation (FBI) e dal Dipartimento del Tesoro degli Stati Uniti. AvosLocker è un Ransomware-as-a-Service (RaaS) che ha preso di mira organizzazioni in più settori di infrastrutture critiche negli Stati Uniti. I settori interessati includono servizi finanziari, produzione critica e organizzazioni di strutture governative. Altre vittime di AvosLocker si trovano in più paesi del mondo. Perché è significativo? Ciò è significativo perché l’avviso congiunto indica che le organizzazioni in più settori di infrastrutture critiche negli Stati Uniti sono state prese di mira dal ransomware AvosLocker. L’avviso richiama le vulnerabilità sfruttate dal gruppo di ransomware, che le aziende devono considerare di correggere il prima possibile. Cos’è AvosLocker? Il ransomware AvosLocker prende di mira i sistemi Windows e Linux ed è stato osservato per la prima volta a fine giugno 2021. Come Ransomware-as-a-Service , AvosLocker è pubblicizzato su numerose comunità del Dark Web, reclutando affiliati (partner) e broker di accesso. Dopo aver violato un bersaglio e individuato i file accessibili sulla rete della vittima, AvosLocker esfiltra i dati, crittografa i file con AES-256 e lascia una richiesta di riscatto “GET_YOUR_FILES_BACK.txt”. Alcune delle estensioni di file note che AvosLocker aggiunge ai file crittografati sono “.avos”, “.avos2” e “.avoslinux”. Oltre a lasciare una richiesta di riscatto per far pagare la vittima per recuperare i propri file crittografati e per non divulgare al pubblico le informazioni rubate, alcune vittime di AvosLocker avrebbero ricevuto telefonate da un aggressore di AvosLocker. Le chiamate hanno minacciato la vittima di recarsi sul sito di pagamento per la trattativa. Alcune vittime hanno anche ricevuto un’ulteriore minaccia che l’attaccante avrebbe lanciato attacchi DDoS (Distributed Denial-of-Service) contro di loro. Il sito di fuga di AvosLocker si chiama “comunicato stampa” in cui le vittime sono elencate insieme a una descrizione su di loro. Quanto è diffuso AvosLocker Ransomware? L’avviso indica che le vittime conosciute di AvosLocker sono “negli Stati Uniti, Siria, Arabia Saudita, Germania, Spagna, Belgio, Turchia, Emirati Arabi Uniti, Regno Unito, Canada, Cina e Taiwan”. Quali vulnerabilità vengono sfruttate da AvosLocker? L’avviso afferma che “più vittime hanno segnalato vulnerabilità di Microsoft Exchange Server in loco come probabile vettore di intrusione”. Tali vulnerabilità includono CVE-2021-26855 e ProxyShell, che è una catena di attacchi di exploit che coinvolge tre vulnerabilità di Microsoft Exchange: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Inoltre, è stato segnalato che una vulnerabilità di attraversamento del percorso nel portale Web SSL-VPN di FortiOS è stata sfruttata dal gruppo AvosLocker. FortiGuard Labs ha precedentemente pubblicato un segnale di minaccia su ProxyShell. Vedere l’Appendice per un collegamento a “Vulnerable Microsoft Exchange Servers Actively Scanned for ProxyShell” e FortiGuard Labs ha rilasciato una patch per CVE-2018-13379 a maggio 2019. Per ulteriori informazioni, vedere l’Appendice per un collegamento a “L’attore dannoso rivela FortiGate SSL -Credenziali VPN” e “The Art of War (and Patch Management)” per l’importanza della gestione delle patch. Quali strumenti è noto utilizzare AvosLocker? L’avviso fa riferimento ai seguenti strumenti: Cobalt StrikeEncoded PowerShell scriptsPuTTY Secure Copy client tool “pscp. exe”RcloneAnyDeskScannerAdvanced IP ScannerWinLister Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV contro campioni noti di AvosLocker ransomware:W32/Cryptor.OHU!tr.ransomW32/Filecoder.OHU!tr.ransomELF/Encoder.A811!tr. ransomLinux/Filecoder_AvosLocker.A!trPossibleThreatFortiGuard Labs fornisce la seguente copertura AV contro ProxyShell:MSIL/proxyshell.A!trMSIL/proxyshell.B!trFortiGuard Labs fornisce la seguente copertura IPS contro CVE-2021-26855, ProxyShell e CVE-2018-13379:MS.Exchange.Server.ProxyRequestHandler.Remote.Code.Execution (CVE-2021-26855)MS.Exchange.Server.CVE-2021-34473.Remote. Code.Execution (CVE-2021-34473)MS.Exchange.Server.Common.Access.Token.Privilege.Elevation (CVE-2021-34523)MS.Exchange.MailboxExportRequest.Arbitrary.File.Write (CVE-2021-31207) FortiOS.SSL.VPN.Web.Portal.Pathname.Information.Disclosure (CVE-2018-13379)FortiGuard Labs fornisce la seguente copertura IPS contro CobaltStrike:Backdoor.Cobalt.Strike.BeaconAll network IOCs sono bloccati dal client WebFiltering.
