AvosLocker fidye yazılımı çetesi, İngiltere’deki Çocuk Sağlığı ve Bakımı Uzmanı Cambian Group’a saldırdı.
Birleşik Krallık’taki çocuk uzmanı, öğrenme güçlüğü, otizm ve akıl sağlığı sorunları olan çocuklar ve yetişkinler için bir hastaneler, okullar ve evler ağı işletmektedir.
Avos Locker, Birleşik Krallık’ın önde gelen uzman davranışsal sağlık ve çocuklar için bakım hizmetlerini yayınlamaktadır.
/cambiangroup.com#siber güvenlik #bilgi güvenliği #AvosLocker pic.twitter.com/0FGllSHTTI
— Dominic Alvieri (@AlvieriD) 9 Ocak 2023
Şirket 2002 yılında kurulmuştur ve merkezi Altrincham, Greater Manchester, İngiltere’dedir.
AvosLocker, farklı alanlardaki kuruluşlara saldırır
AvosLocker, son yıllarda ortaya çıkan ve REvil gibi daha önce öne çıkan türlerin yerini alan nispeten yeni bir fidye yazılımı türüdür. LockBit veya Conti gibi diğer tehditler kadar iyi bilinmese veya yaygın olarak aktif olmasa da, FBI’ın bu konuda bir tavsiye yayınlamasıyla giderek dikkat çekiyor.
Danışma belgesine göre AvosLocker, ABD ve Kanada, İngiltere ve İspanya gibi diğer ülkelerdeki endüstrilerdeki kritik altyapıyı hedef aldı. Bu fidye yazılımı yaygın olmasa da, kanıtlanmış taktikleri kullanması onu takip etmeye değer kılıyor.
Siber Ekspres iki örnek daha bulundu burada tehdit aktörü 2023-01-07’de Corporate Interiors Inc’i, 2023-01-09’da Cambian Group’u ve Arizona Labour Force’u hedef aldı.
AvosLocker nasıl çalışır?
Site, kurbandan uygulamanın veya dosyaların şifresini çözmek için şifre çözme anahtarını alması için fidyeyi ödemesini ister. Mağdur, ödemesini bir “ödeme sayfası” aracılığıyla gönderir. Ödeme yapılmazsa verileri satışa çıkar. Ayrıca, AvosLocker tarafından bir ortaklık programı da sunulmaktadır.
AvosLocker, hizmet olarak fidye yazılımı (RaaS) modeli biçiminde ortaya çıkan bir tehdittir. Tehdit ortamında ilk olarak Temmuz 2021’de ortaya çıktı ve o zamandan beri çeşitli varyasyonları gözlemlendi. AvosLocker aşağıdaki temel özelliklerle tanınır:
Uzaktan yönetim araçlarını kullanır
AvosLocker kampanyaları, operatörün kurban makinelere erişmesini ve bu makinelere virüs bulaştırmasını sağlayan bir uzaktan yönetim aracı olan AnyDesk’i kullanmalarıyla bilinir. Bu araç, saldırganların güvenliği ihlal edilmiş cihazı manuel olarak kontrol etmesine ve çeşitli kötü amaçlı eylemler gerçekleştirmesine olanak tanır.
Güvenli modda çalışır
AvosLocker’ın en önemli kaçırma tekniklerinden biri, güvenli modu kullanmasıdır. Kötü amaçlı yazılım, etkilenen makineyi yeniden başlatarak ve belirli sürücüleri devre dışı bırakarak, bu modda çalışamayan güvenlik önlemleri tarafından tespit edilmekten kurtulabilir.
Ek olarak, saldırganlar, kötü amaçlı yazılımın güvenli modda bile çalışmaya devam etmesine izin veren belirli sürücüler kurmuştur. Bu taktik, selefi olan ve artık feshedilmiş REvil kötü amaçlı yazılımı tarafından da kullanıldı.
Operatörün müzayedesinden beslenmek
AvosLocker, operasyonlarına yeni bir boyut ekleyerek REvil’in taktiklerinden ilham aldı – çalınan verileri web sitelerinde ve geleneksel çifte gasp planlarında açık arttırmayla satıyor. Bu, grup için yalnızca başarılı bir saldırıdan daha fazla para kazanmanın değil, aynı zamanda başarısız bir saldırıdan kaynaklanan kayıpları telafi etmenin bir yolu olarak görülebilir.