FBI waarschuwt voor ransomware-aanvallen op vitale sector via Exchange-lekken

De FBI heeft organisaties in de vitale infrastructuur gewaarschuwd voor aanvallen met de AvosLocker-ransomware waarbij gebruik gemaakt zou worden van bekende kwetsbaarheden in Microsoft Exchange. Volgens de Amerikaanse opsporingsdienst is de ransomware onder andere ingezet tegen financieel dienstverleners, vitale productie en overheidsvoorzieningen.

Net als veel andere ransomwaregroepen versleutelt AvosLocker niet alleen bestanden, maar steelt die ook. Wanneer slachtoffers het gevraagde losgeld niet betalen dreigt de groep deze data openbaar te maken. Ook dreigt de groep met het uitvoeren van ddos-aanvallen wanneer er niet wordt betaald. AvosLocker heeft daarbij een voorkeur voor betalingen met cryptovaluta Monero. De groep accepteert ook Bitcoin, maar dit kost slachtoffers 10 tot 25 procent extra.

Verder stelt de FBI dat de criminelen achter AvosLocker hun slachtoffers bellen om naar de betaalsite te gaan, om daar te onderhandelen. Meerdere slachtoffers lieten weten dat AvosLocker-onderhandelaars na onderhandelingen een lager losgeldbedrag accepteerden.

Verschillende slachtoffers verklaarden aan de FBI dat de aanvallers vermoedelijk zijn binnengekomen via kwetsbaarheden in Microsoft Exchange. Het zou daarbij onder andere gaan om drie kwetsbaarheden die bij elkaar bekendstaan als ProxyShell, alsmede een kritiek beveiligingslek dat begin 2021 werd gebruikt bij zeroday-aanvallen. Voor alle vier de kwetsbaarheden die de FBI in de waarschuwing noemt zijn beveiligingsupdates beschikbaar (pdf).