US-Behörden veröffentlichen neue ICOs der AvosLocker-Ransomware

Publiziert am 21. März 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Ich stelle mal die Information für Administratoren aus Unternehmensumgebungen hier im Blog ein. Das FBI und das US-Finanzministerium haben diese gerade neue Indicators of Compromise (IOCs) für die Ransomware AvosLocker veröffentlicht. Das sind Hinweise, wie man eine Infektion mit dieser Ransomware erkennen kann. Die Informationen lassen sich ggf. in eigenen SIEM-Systemen (Security Information and Event Management) verwenden.

Anzeige

Bei AvosLocker handelt es sich um eine seit dem 4. Juli 2021 bekannte Ransomware (siehe), die mit dem gleichnamigen Tool in Windows und Linux eindringen und dort Daten verschlüsseln sowie abziehen kann. Jeder Datei wird dann die spezifische Erweiterung .avos2 angefügt und die Gruppe versucht Lösegeld zu erpressen.

Die AvosLocker-Gang arbeitet auf dem Ransomware-as-a-Service (RaaS)-Prinzip und bietet Cyberkriminellen ihre Dienstleistung an. Die Gruppe hat es auf Opfer in verschiedenen kritischen Infrastrukturbereichen in den Vereinigten Staaten abgesehen, wobei aber die die Sektoren Finanzdienstleistungen, kritische Produktionsanlagen und Regierungseinrichtungen ausgeschlossen werden sollen. AvosLocker übernimmt auch die Lösegeldverhandlungen sowie die Veröffentlichung erbeuteter Opferdaten.

Im Blog von Qualsys gibt es diese technische Analyse der Malware – und die Kollegen von Bleeping Computer haben im Januar 2022 diesen Artikel veröffentlicht. Anlass war, dass die AvosLocker Ransomware-Gang ihrer Malware-Varianten die Unterstützung zur Verschlüsselung von Linux-Systemen hinzugefügt hat und dabei speziell auf virtuelle VMware ESXi-Maschinen abzielt.

Auf tarnkappe de gibt es diesen deutschsprachigen Beitrag, der sich etwas ausführlicher mit einem Fall von Ransomware-Infektion mit AvroLocker befasst. Dort war eine US-Polizeidienststelle, worauf die Ransomware-Gang in diesem Fall einen Decrypter samt Schlüssel zur kostenlosen Entschlüsselung bereitgestellte.

Anzeige

AvosLocker ICOs

In obigem Tweet weist Catalin Cimpanu auf diesen Artikel (PDF) hin, in dem das FBI und das US-Finanzministerium neue Indicators of Compromise (IOCs) für die Ransomware AvosLocker veröffentlicht haben. Das ist vielleicht für Sicherheitsverantwortliche von Interesse, die ihre SIEM-Systeme um die erforderlichen ICOs zur Erkennung einer Infektion erweitern möchten. Zudem enthält das PDF-Dokument eine Liste der bekannten Schwachstellen (Exchange Server Proxy Shell etc.), die für Angriffe benutzt werden.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu US-Behörden veröffentlichen neue ICOs der AvosLocker-Ransomware

  1. masterX244 sagt:
    21. März 2022 um 08:55 Uhr

    @Günter: In der Überschrift steht ICOs statt IOCs. da hat wohgl die Sekretärin Tasta Tur die Zeichen verdreht…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.