{"id":263550,"date":"2022-03-21T08:30:35","date_gmt":"2022-03-21T07:30:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263550"},"modified":"2024-03-31T20:18:35","modified_gmt":"2024-03-31T18:18:35","slug":"us-behrden-verffentlichen-neue-icos-der-avoslocker-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/21\/us-behrden-verffentlichen-neue-icos-der-avoslocker-ransomware\/","title":{"rendered":"US-Behörden veröffentlichen neue ICOs der AvosLocker-Ransomware"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich stelle mal die Information f\u00fcr Administratoren aus Unternehmensumgebungen hier im Blog ein. Das FBI und das US-Finanzministerium haben diese gerade neue Indicators of Compromise (IOCs) f\u00fcr die Ransomware AvosLocker ver\u00f6ffentlicht. Das sind Hinweise, wie man eine Infektion mit dieser Ransomware erkennen kann. Die Informationen lassen sich ggf. in eigenen SIEM-Systemen (Security Information and Event Management) verwenden.<\/p>\n

<\/p>\n

\"\"Bei AvosLocker handelt es sich um eine seit dem 4. Juli 2021 bekannte Ransomware (siehe<\/a>), die mit dem gleichnamigen Tool in Windows und Linux eindringen und dort Daten verschl\u00fcsseln sowie abziehen kann. Jeder Datei wird dann die spezifische Erweiterung .avos2<\/em> angef\u00fcgt und die Gruppe versucht L\u00f6segeld zu erpressen.<\/p>\n

Die AvosLocker-Gang arbeitet auf dem Ransomware-as-a-Service (RaaS)-Prinzip und bietet Cyberkriminellen ihre Dienstleistung an. Die Gruppe hat es auf Opfer in verschiedenen kritischen Infrastrukturbereichen in den Vereinigten Staaten abgesehen, wobei aber die die Sektoren Finanzdienstleistungen, kritische Produktionsanlagen und Regierungseinrichtungen ausgeschlossen werden sollen. AvosLocker \u00fcbernimmt auch die L\u00f6segeldverhandlungen sowie die Ver\u00f6ffentlichung erbeuteter Opferdaten.<\/p>\n

Im Blog von Qualsys gibt es diese technische Analyse<\/a> der Malware – und die Kollegen von Bleeping Computer haben im Januar 2022 diesen Artikel<\/a> ver\u00f6ffentlicht. Anlass war, dass die AvosLocker Ransomware-Gang ihrer Malware-Varianten die Unterst\u00fctzung zur Verschl\u00fcsselung von Linux-Systemen hinzugef\u00fcgt hat und dabei speziell auf virtuelle VMware ESXi-Maschinen abzielt.<\/p>\n

Auf tarnkappe de gibt es diesen deutschsprachigen Beitrag<\/a>, der sich etwas ausf\u00fchrlicher mit einem Fall von Ransomware-Infektion mit AvroLocker befasst. Dort war eine US-Polizeidienststelle, worauf die Ransomware-Gang in diesem Fall einen Decrypter samt Schl\u00fcssel zur kostenlosen Entschl\u00fcsselung bereitgestellte.<\/p>\n

\"AvosLocker<\/a><\/p>\n

In obigem Tweet<\/a> weist Catalin Cimpanu auf diesen Artikel<\/a> (PDF) hin, in dem das FBI und das US-Finanzministerium neue Indicators of Compromise (IOCs) f\u00fcr die Ransomware AvosLocker ver\u00f6ffentlicht haben. Das ist vielleicht f\u00fcr Sicherheitsverantwortliche von Interesse, die ihre SIEM-Systeme um die erforderlichen ICOs zur Erkennung einer Infektion erweitern m\u00f6chten. Zudem enth\u00e4lt das PDF-Dokument eine Liste der bekannten Schwachstellen (Exchange Server Proxy Shell etc.), die f\u00fcr Angriffe benutzt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal die Information f\u00fcr Administratoren aus Unternehmensumgebungen hier im Blog ein. Das FBI und das US-Finanzministerium haben diese gerade neue Indicators of Compromise (IOCs) f\u00fcr die Ransomware AvosLocker ver\u00f6ffentlicht. Das sind Hinweise, wie man eine Infektion mit dieser … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263550","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263550"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263550\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}