Если у вас, если у вас.. если вас атакует Avaddon Ransomware
Программа-вымогатель Avaddon - это программа-вымогатель как услуга (RaaS), сочетающая шифрование с кражей данных и вымогательством. Avaddon существует с 2019 года, но с июня 2020 года он стал более заметным и агрессивным. «Аффилированные лица» или клиенты службы наблюдали развертывание Avaddon для широкого круга целей во многих странах, часто посредством злонамеренного спама и фишинговых кампаний с импользованием JavaScript.
Организации, пораженные программой-вымогателем Avaddon, сталкиваются не только с шифрованием данных - существует также угроза раскрытия общедоступных данных на сайте утечки Avaddon и, в последнее время, риск распределенных атак типа «отказ в обслуживании» (DDoS), нарушающих работу. Эта тактика призвана усилить давление на жертв с требованием выкупа.
Что делать немедленно: сдержать и обезвредить
Первое, что вам нужно сделать, это определить, продолжается ли атака. Если вы подозреваете, что это так, и у вас нет инструментов, чтобы остановить это, определите, какие устройства были затронуты, и немедленно изолируйте их. Самый простой вариант - просто отсоединить сетевой кабель или выключить адаптер Wi-Fi. Если повреждение более масштабное, чем повреждение нескольких устройств, подумайте о том, чтобы сделать это на уровне коммутатора и отключить в автономном режиме целые сегменты сети, а не отдельные устройства. Выключайте устройства только в том случае, если не можете отключить сеть.
Во-вторых, нужно оценить ущерб. Какие конечные точки, серверы и операционные системы были затронуты, что было потеряно? Ваши резервные копии остались нетронутыми или злоумышленник удалил их? Если они целы, немедленно сделайте автономную копию. Кроме того, какие машины были защищены?
В-третьих, есть ли у вас комплексный план реагирования на инциденты? Если нет, вам необходимо определить, кто должен быть вовлечен в работу с этим инцидентом. Потребуются ИТ-администраторы и высшее руководство, но вам также может потребоваться привлечь внешних экспертов по безопасности, проконсультироваться с киберстраховщиком и юрисконсультом. Следует ли вам сообщать об инциденте в правоохранительные органы и / или информировать органы по защите данных? Также возникает вопрос о том, какую информацию следует предоставлять пользователям и клиентам, многие из которых, вероятно, придут на работу и столкнутся с аналогичной запиской о выкупе на своем рабочем столе.
И последнее, но не менее важное: вы хотите поговорить с людьми о том, что происходит, но злоумышленники могут подслушивать, поэтому не используйте обычные каналы связи. Например, если злоумышленники находятся в вашей сети какое-то время, у них, вероятно, будет доступ к электронной почте.
Организации, пораженные программой-вымогателем Avaddon, сталкиваются не только с шифрованием данных - существует также угроза раскрытия общедоступных данных на сайте утечки Avaddon и, в последнее время, риск распределенных атак типа «отказ в обслуживании» (DDoS), нарушающих работу. Эта тактика призвана усилить давление на жертв с требованием выкупа.
Что делать немедленно: сдержать и обезвредить
Первое, что вам нужно сделать, это определить, продолжается ли атака. Если вы подозреваете, что это так, и у вас нет инструментов, чтобы остановить это, определите, какие устройства были затронуты, и немедленно изолируйте их. Самый простой вариант - просто отсоединить сетевой кабель или выключить адаптер Wi-Fi. Если повреждение более масштабное, чем повреждение нескольких устройств, подумайте о том, чтобы сделать это на уровне коммутатора и отключить в автономном режиме целые сегменты сети, а не отдельные устройства. Выключайте устройства только в том случае, если не можете отключить сеть.
Во-вторых, нужно оценить ущерб. Какие конечные точки, серверы и операционные системы были затронуты, что было потеряно? Ваши резервные копии остались нетронутыми или злоумышленник удалил их? Если они целы, немедленно сделайте автономную копию. Кроме того, какие машины были защищены?
В-третьих, есть ли у вас комплексный план реагирования на инциденты? Если нет, вам необходимо определить, кто должен быть вовлечен в работу с этим инцидентом. Потребуются ИТ-администраторы и высшее руководство, но вам также может потребоваться привлечь внешних экспертов по безопасности, проконсультироваться с киберстраховщиком и юрисконсультом. Следует ли вам сообщать об инциденте в правоохранительные органы и / или информировать органы по защите данных? Также возникает вопрос о том, какую информацию следует предоставлять пользователям и клиентам, многие из которых, вероятно, придут на работу и столкнутся с аналогичной запиской о выкупе на своем рабочем столе.
И последнее, но не менее важное: вы хотите поговорить с людьми о том, что происходит, но злоумышленники могут подслушивать, поэтому не используйте обычные каналы связи. Например, если злоумышленники находятся в вашей сети какое-то время, у них, вероятно, будет доступ к электронной почте.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
После того, как вам удалось сдержать и нейтрализовать атаку, найдите время, чтобы исследовать, что произошло, чтобы снизить вероятность ее повторения. Если вы не уверены в том, что делаете это самостоятельно, поставщики средств безопасности, в том числе Sophos, круглосуточно предлагают помощь специалистов по реагированию на инциденты и поиску угроз.
По словам команды Sophos Rapid Response, это то, чего вам следует ожидать от активности вымогателя Avaddon в вашей сети:
1. Скорее всего, злоумышленники были в вашей сети несколько дней или даже недель. Avaddon - это программа-вымогатель как услуга, включающая кражу данных. Он управляется человеческими аффилированными лицами, которые получают долю от выкупа. Партнерам нужно время, чтобы изучить сеть цели, чтобы найти и украсть ценные данные и обеспечить максимальное нарушение работы, поскольку это позволяет им взимать более высокие выкуп.
Лица, отвечающие за реагирование на инциденты Sophos, наблюдали время ожидания злоумышленников от 10 до 28 дней в атаках, связанных с выпуском программы-вымогателя Avaddon.
2. Злоумышленники могут использовать множество различных методов для взлома вашей сети. Известные методы начального доступа для программ-вымогателей Avaddon включают, помимо прочего, спам-кампании, доставляющие вредоносные файлы JavaScript, открытые службы RDP (протокол удаленного рабочего стола) и уязвимые виртуальные частные сети (VPN). Такие сайты, как Shodan.io, дают представление о том, что может сделать злоумышленник. узнать о своей сети; попробуйте использовать его для поиска ваших внешних IP-адресов.
Злоумышленники Avaddon нацелены на системы как Windows, так и Linux.
3. У них будет защищенный доступ к учетным записям администраторов домена, а также к другим учетным записям пользователей. Злоумышленники обычно взламывают несколько учетных записей во время атаки. Их основная цель - получить доступ к учетным записям администраторов домена, которые они могут использовать для запуска вымогателей. Однако они также нацелены на определенные учетные записи администраторов, которые имеют доступ к конфиденциальным данным, системам резервного копирования и консолям управления безопасностью.
Злоумышленники Avaddon используют такие инструменты, как Mimikatz, для кражи учетных данных для доступа к учетной записи и для повышения привилегий после того, как они окажутся внутри сети. Mimikatz может собирать информацию из запущенного процесса Microsoft LSASS.exe, который содержит хэши имен и паролей пользователей, вошедших в систему в данный момент. Иногда злоумышленники оставляют эту функцию включенной, а затем намеренно ломают что-то на компьютере, на которое они нацелены, спровоцировав администратора войти в систему, чтобы исправить это. Затем злоумышленники могут захватить учетные данные этого администратора.
Если Mimikatz заблокирован программным обеспечением безопасности, злоумышленники могут вместо этого использовать что-то вроде Microsoft Process Monitor для создания дампа памяти LSASS.exe и переноса этого файла дампа обратно на свою машину для извлечения информации с помощью Mimikatz. С Mimikatz не имеет значения, насколько длинные или сложные пароли, потому что они забирают их прямо из памяти.
4. Они просканируют вашу сеть. Они знают, сколько у вас серверов и конечных точек и где вы храните свои резервные копии, критически важные для бизнеса данные и приложения. Одна из первых вещей, которую делают злоумышленники, когда они попадают в сеть, - это определить, какой доступ у них есть на локальной машине. Следующий шаг - выяснить, какие существуют удаленные машины и могут ли они получить к ним доступ.
Операторы программ-вымогателей Avaddon, как и многие другие злоумышленники, использующие ручную клавиатуру, используют RDP для внутреннего бокового перемещения внутри сети, используя его для проникновения на серверы и компьютеры, которые несут ценные активы.
5. Злоумышленники, скорее всего, загрузили и установили бэкдоры, которые позволяют им заходить и выходить в вашу сеть и устанавливать дополнительные инструменты. Они настроят папки и каталоги для сбора и хранения украденной информации и каналов для связи с злоумышленниками и для передачи информации из вашей сети.
Бэкдоры бывают разных форм. Некоторые просто связываются с IP-адресом злоумышленников, позволяя им отправлять и получать команды на машину.
Многие бэкдоры классифицируются как легальные приложения. Например, злоумышленники могут использовать инструменты удаленного администрирования, такие как RDP, для поддержания доступа. Даже если RDP отключен по умолчанию, злоумышленнику с правами администратора очень легко его снова включить. Еще один распространенный законный инструмент - AnyDesk. Это предлагает злоумышленникам прямой контроль над машиной, включая управление мышью / клавиатурой и возможность видеть экран.
Известно, что операторы Avaddon используют Cobalt Strike, усовершенствованный инструмент для постэксплуатационного тестирования на проникновение. Злоумышленники часто пытаются установить маяк Cobalt Strike. Это обеспечивает регулярную обратную связь с сервером Cobalt Strike («командование и управление» для атаки Avaddon) и дает злоумышленникам полный контроль над машиной. Его также можно использовать для простого развертывания дополнительных маяков на других машинах в сети.
6. В дополнение к шифрованию данных и нарушению работы программного обеспечения и операций операторы Avaddon будут пытаться эксфильтровать корпоративные данные до основного события, связанного с вымогательством. Специалисты по реагированию на инциденты, которые расследовали атаки с участием Avaddon, обнаружили, что операторы использовали инструмент архивирования WinRar для сбора данных для эксфильтрации, а затем переправили данные поставщику облачного хранилища www.Mega.nz, используя свое приложение MegaSync. Mega пользуется популярностью у злоумышленников, поскольку предлагает им определенный уровень анонимности.
7. Они попытаются зашифровать, удалить, сбросить или удалить ваши резервные копии. Если ваши резервные копии не хранятся в автономном режиме, они находятся в пределах досягаемости злоумышленников. «Резервная копия», которая постоянно находится в сети и доступна, - это всего лишь вторая копия файлов, ожидающих шифрования.
8. Злоумышленники попытаются определить, какое решение безопасности используется в сети и могут ли они его отключить. Неважно, насколько хороша ваша защита, если злоумышленник может ее отключить.
Бесплатные инструменты по умолчанию, такие как Защитник Windows, могут быть немедленно отключены любым, у кого есть достаточные права администратора. Большинство современных программ-вымогателей пытаются сделать это по умолчанию. Злоумышленники также пытаются найти и получить доступ к консолям управления более продвинутых решений безопасности, чтобы отключить всю защиту непосредственно перед запуском программы-вымогателя.
Консоли управления безопасностью, размещенные локально, особенно подвержены риску, поскольку злоумышленники могут получить к ним доступ с учетными записями, которые они уже взломали.
9. Наиболее заметная часть атаки - выпуск программы-вымогателя - вероятно, произошла, когда ИТ-администраторы или специалисты по безопасности не были в сети, чтобы заметить и предотвратить длительный процесс шифрования файлов, возможно, посреди ночи или в выходные дни.
Примечание. Процесс шифрования занимает несколько часов. К моменту завершения работы программы-вымогателя на зашифрованной конечной точке Windows будут находиться десятки или сотни тысяч зашифрованных файлов. Для больших файловых серверов это может исчисляться миллионами. Вот почему большинство целевых атак программ-вымогателей запускаются посреди ночи, в выходные или праздничные дни, когда их наблюдает меньше людей.
Программа-вымогатель может быть развернута разными способами. В случае Avaddon злоумышленники, скорее всего, создали запланированные задачи на конечных точках и серверах в сети, которые развернули программу-вымогатель в заранее определенное время.
Другой метод, обычно используемый многими различными семействами программ-вымогателей, - это комбинация пакетных сценариев и инструмента Microsoft PsExec, который является отличным инструментом для выполнения команд на удаленных машинах. Злоумышленник может создать пакетный сценарий, который просматривает список ваших IP-адресов, используя PsExec для копирования программы-вымогателя на каждую машину, а затем выполняет ее.
Хотя большинство решений безопасности (включая Sophos) по умолчанию блокируют PsExec, администраторы часто разрешают его использование в своей сети, потому что они тоже считают его полезным - и, к сожалению, злоумышленники это знают.
Злоумышленники также могут создать или изменить существующий сценарий входа в систему объекта групповой политики (GPO). Если вы не заметите этого, атака может возобновляться каждый раз, когда машина загружается и подключается к домену. Создается впечатление, что программа-вымогатель «распространяется», когда она вызвана только объектом групповой политики.
11. Запуск программы-вымогателя - это еще не конец. Злоумышленники могут использовать установленные ими ранее инструменты, чтобы оставаться в сети для отслеживания ситуации и даже для вашей электронной почты, чтобы увидеть, как вы реагируете на выпуск программы-вымогателя. Электронное письмо генеральному директору, в котором говорится, что с вами все будет в порядке, потому что они не зашифровали резервные копии на Сервере X, может привести к катастрофе, если злоумышленник прочитает его и все еще имеет доступ к этому серверу.
Злоумышленник также может дождаться вашего восстановления, чтобы затем запустить вторую атаку, чтобы действительно подчеркнуть, что он может продолжать делать это, пока вы не заплатите.
У злоумышленников Avaddon есть еще одна тактика, направленная на то, чтобы заставить цели заплатить: они запускают DDoS-атаку в попытке нарушить работу и связь.
12. Время, проведенное в вашей сети, вероятно, позволило злоумышленникам украсть критически важную, конфиденциальную и конфиденциальную информацию, которую они теперь угрожают публично раскрыть. Контроллеры Avaddon RaaS используют общедоступный «сайт утечки»: avaddongun7rngel [.] Onion. Цели, пораженные филиалами Avaddon, подвергаются риску публикации их данных на сайте для всеобщего обозрения, если они не заплатят выкуп. Некоторые из наиболее ценных данных могут быть проданы другим злоумышленникам для использования в дальнейших атаках.
Злоумышленники Avaddon утверждают, что они начнут публиковать украденные данные где-нибудь через несколько дней или неделю после основной атаки, если не будет получен контакт с целью или переговоры прервутся. Обычно они начинают с публикации около 5% данных, которые, по их утверждениям, хранятся. Однако может пройти несколько недель или даже больше, прежде чем что-либо будет опубликовано.
Кроме того, хотя злоумышленники могут пообещать удалить вашу информацию, если вы заплатите, у вас нет никаких гарантий, что они это сделают.
Что могут сделать защитники
Вы можете предпринять ряд упреждающих шагов для повышения своей ИТ-безопасности в будущем, в том числе:
Заключение
Работа с кибератакой - это стрессовый опыт. Может возникнуть соблазн устранить непосредственную угрозу и закрыть книгу об инциденте, но правда в том, что таким образом вы вряд ли устранили все следы атаки. Важно, чтобы вы нашли время, чтобы определить, как злоумышленники проникли, извлечь уроки из любых ошибок и улучшить свою безопасность. Если вы этого не сделаете, вы рискуете, что тот же злоумышленник или другой может прийти и сделать то же самое на следующей неделе.
https://news.sophos.com/en-us/2021/05/24/what-to-expect-when-youve-been-hit-with-avaddon-ransomware/
Злоумышленники используют законные инструменты администрирования, чтобы подготовить почву для атак программ-вымогателей. Не зная, какие инструменты администраторы обычно используют на своих машинах, можно легко упустить эти данные. Оглядываясь назад, можно сказать, что эти пять индикаторов представляют собой красные флажки расследования.
Сканер сети, особенно на сервере.
Злоумышленники обычно начинают с получения доступа к одному компьютеру, на котором они ищут информацию: Mac это или Windows, какой у вас домен и название компании, какие права администратора есть у компьютера и т. Д. Затем злоумышленники захотят узнать, что еще находится в сети и к чему они могут получить доступ. Самый простой способ определить это - просканировать сеть. Если обнаружен сетевой сканер, такой как AngryIP или Advanced Port Scanner, обратитесь к администратору. Если никто не пытается использовать сканер, пора заняться расследованием.
Инструменты для отключения антивирусного ПО.
Получив права администратора, злоумышленники часто будут пытаться отключить программное обеспечение безопасности с помощью приложений, созданных для принудительного удаления программного обеспечения, таких как Process Hacker, IOBit Uninstaller, GMER и PC Hunter. Эти типы коммерческих инструментов являются законными, но в чужих руках службы безопасности и администраторы должны задаться вопросом, почему они внезапно появились.
Наличие MimiKatz
Любое обнаружение MimiKatz где-либо должно быть расследовано. Если никто из группы администраторов не может поручиться за использование MimiKatz, это красный флаг, потому что это один из наиболее часто используемых хакерских инструментов для кражи учетных данных. Злоумышленники также используют Microsoft Process Explorer, входящий в состав Windows Sysinternals, законный инструмент, который может выгружать LSASS.exe из памяти, создавая файл .dmp. Затем они могут перенести это в свою среду и использовать MimiKatz для безопасного извлечения имен пользователей и паролей на своей собственной тестовой машине.
Паттерны подозрительного поведения
Любое обнаружение, происходящее в одно и то же время каждый день или повторяющееся, часто является признаком того, что происходит что-то еще, даже если вредоносные файлы были обнаружены и удалены. Службы безопасности должны спросить: «Почему он возвращается?» Лица, отвечающие на инциденты, знают, что это обычно означает, что произошло что-то еще злонамеренное, но (пока) еще не обнаруженное.
Тестовые атаки
Иногда злоумышленники развертывают небольшие тестовые атаки на нескольких компьютерах, чтобы проверить, успешно ли выполняется метод развертывания и программа-вымогатель или программа безопасности останавливает его. Если инструменты безопасности остановят атаку, они изменят свою тактику и попытаются снова. Это покажет их руку, и злоумышленники будут знать, что их время теперь ограничено. Часто может пройти несколько часов, прежде чем начнется гораздо более серьезная атака.
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/
Avaddon прекратила работу и предоставила ключи дешифрования своих жертв BleepingComputer.com.
После обмена файлами с Фабианом Восаром из Emsisoft и Майклом Гиллеспи из Coveware они подтвердили, что ключи являются законными.
Всего злоумышленники прислали 2934 ключа дешифрования, каждый из которых соответствует определенной жертве.
Emsisoft выпустила бесплатный дешифратор, который все жертвы могут использовать для бесплатного восстановления своих файлов.
Хотя это случается не так часто, некоторые группы программ-вымогателей ранее выпускали ключи дешифрования для BleepingComputer и других исследователей в качестве жеста доброй воли, когда они завершают работу или выпускают новую версию.
В прошлом ключи дешифрования выпускались для TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy и FonixLocker.
Неясно, почему Avaddon закрылся, но, вероятно, это было вызвано усилением давления и контроля со стороны правоохранительных органов и правительств во всем мире после недавних атак на критически важную инфраструктуру.
https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/