AvosLocker 勒索软件团伙与针对美国关键基础设施部门的攻击有关，其中一些勒索软件团伙最近在 2023 年 5 月才被发现。

这是根据美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 发布的新联合网络安全咨询，详细介绍了勒索软件即服务 (RaaS) 行动的策略、技术和程序 (TTP) ）。

这些机构表示：“AvosLocker 附属机构通过使用合法软件和开源远程系统管理工具来破坏组织的网络。 ” “然后，AvosLocker 附属公司使用基于渗透的数据勒索策略，威胁泄露和/或发布被盗数据。”

该勒索软件菌株于 2021 年年中首次出现，此后利用复杂的技术禁用防病毒保护作为检测规避措施。它影响 Windows、Linux 和 VMware ESXi 环境。

AvosLocker 攻击的一个关键特征是依赖开源工具和离地生活 (LotL) 策略，不留下任何可能导致归因的痕迹。还使用合法的实用程序（例如 FileZilla 和 Rclone）进行数据泄露，以及隧道工具（例如 Chisel 和 Ligolo）。

命令与控制 (C2) 通过 Cobalt Strike 和 Sliver 完成，而 Lazagne 和 Mimikatz 用于凭证盗窃。这些攻击还使用自定义 PowerShell 和 Windows Batch 脚本进行横向移动、权限升级和解除安全软件。

这些机构指出：“AvosLocker 附属公司已上传并使用自定义 Web shell 来实现网络访问。” 另一个新组件是一个名为 NetMonitor.exe 的可执行文件，它伪装成网络监控工具，但实际上充当反向代理，允许威胁行为者从受害者网络外部连接到主机。

CISA 和 FBI 建议关键基础设施组织实施必要的缓解措施，以减少 AvosLocker 勒索软件和其他勒索软件事件的可能性和影响。

这包括采用应用程序控制、限制 RDP 和其他远程桌面服务的使用、限制 PowerShell 的使用、要求防网络钓鱼的多因素身份验证、分段网络、保持所有系统最新以及维护定期离线备份。

与此同时，Mozilla警告称，勒索软件攻击利用恶意广告活动诱骗用户安装 Thunderbird 木马版本，最终导致文件加密恶意软件和 IcedID 等商品恶意软件系列的部署。

据 Secureworks 称，2023 年勒索软件攻击大幅增加，尽管威胁行为者正在迅速行动，在超过 50% 的攻击活动中在首次访问后一天内部署勒索软件，而 2022 年勒索软件的中位停留时间为 4.5 天。 。

更重要的是，在超过 10% 的事件中，勒索软件是在五小时内部署的。

Secureworks 反威胁部门威胁情报副总裁唐·史密斯 (Don Smith)表示： “中位停留时间减少的驱动因素可能是网络犯罪分子希望降低被发现的机会。”

“因此，威胁行为者专注于更简单、更快速地实施操作，而不是复杂得多的大型、多站点企业范围加密事件。但这些攻击的风险仍然很高。”

利用面向公众的应用程序、被盗凭证、现成的恶意软件和外部远程服务已成为勒索软件攻击的三大初始访问媒介。

根据CISA的最新指南，远程桌面协议 (RDP)、文件传输协议 (FTP)、TELNET、服务器消息块 (SMB) 和虚拟网络计算 (VNC) 是已知常见的一些错误配置和弱点在勒索软件活动中被武器化。

雪上加霜的是，RaaS 模式和随时可用的泄露勒索软件代码降低了犯罪新手的进入门槛，使其成为获取非法利润的有利途径。

史密斯补充说：“虽然我们仍然将熟悉的名字视为最活跃的威胁行为者，但几个新的、非常活跃的威胁组织的出现正在推动受害者和数据泄露的显着增加。” “尽管网络犯罪分子受到了高调的打击和制裁，但他们仍然是适应能力的大师，因此威胁继续加速。”

微软在其年度数字防御报告中表示，遇到人为勒索软件的组织中，70% 的员工人数不足 500 人，而且所有攻击中 80% 至 90% 源自不受管理的设备。

该公司收集的遥测数据显示，自 2022 年 9 月以来，人为操作的勒索软件攻击增加了 200% 以上。

最重要的是，最近成功的人为勒索软件攻击中约有 16% 涉及加密和渗漏，而 13% 的勒索软件攻击仅使用渗漏。勒索软件运营商也越来越多地利用不太常见的软件中的漏洞，这使得预测和防御他们的攻击变得更加困难。

同时，在人为操作的勒索软件攻击中远程加密的使用“急剧增加”，在过去一年中平均占 60%。

微软解释说：“加密不是在受害者设备上部署恶意文件，而是远程完成，由系统进程执行加密，这使得基于进程的修复无效。” “这是攻击者不断进化以进一步减少其足迹的迹象。”

此事也为广大企事业单位敲响了警钟，尤其随着数字化浪潮来袭，但广大企事业单位的安全运营防护却并未跟上步伐，因此面临“安全风险看不清”、“安全事件难处理”、“安全应对跟不上”等多个安全痼疾。

基于以上“顽症”，360以数字安全托管运营服务为核心的勒索防护方案，通过“事前预防-事中拦截-事后溯源”的安全策略，让企业再也无惧勒索病毒：

01快速甄别 封堵“祸”源

正是由于勒索攻击的不可逆性，“事前预防”是以360数字安全托管运营服务为核心的勒索防护方案的重要一环。

方案中的360终端安全检测与响应系统（360 EDR）可检测终端的脆弱性，包括终端存在的弱密码、系统漏洞、风险配置等，减少勒索软件的进入途径；同时，可提供无感知桌面文档自动备份机制，可对日常编辑的文件进行及时备份，当勒索发生后，能有效保护备份区的文件不被加密。

然而安全设备产生的告警，仅仅是复杂的攻击链其中一环，只有关联每一步攻击行为，才能发现真实攻击意图，最终快速定位和研判攻击。

该方案通过EDR组件检测已知勒索、发现未知勒索和备份恢复数据，与沙箱进行协同联动，筑牢勒索防护的最后一道防线。同时，借助360 XDR一体机分析总结众多勒索加密的普遍行为，定义异常加密动作的监控与判断方式、触发报警条件及处置动作，提高勒索攻击的识别与防御效果。

当勒索攻击发生后，该方案不但能删除勒索软件，恢复受篡改的文件，还能利用多设备互相关联和印证进行攻击溯源分析，将用户业务与云、管、端告警和情报结合，还原勒索攻击全貌，对非法者的攻击路径进行层层剖析，在最短时间内还原出完整的攻击链路图，帮助用户厘清受影响的资产，为客户提供全面、专业的分析结论并提出针对性建设意见。

据统计，自上线后，该方案帮助客户实现云地协同7*24小时持续监测，释放运营压力的同时，响应处置效率提升至以“分钟”为单位，平均5分钟响应、2小时闭环。