Det starter generelt med malvertising og slutter med implementeringen af Royal ransomware, men en ny trusselgruppe har udmærket sig ved sin evne til at innovere de ondsindede trin ind imellem for at lokke nye mål ind.
Cyberangrebsgruppen, der spores af Microsoft Security Threat Intelligence som DEV-0569, er bemærkelsesværdig for sin evne til løbende at forbedre sin opdagelse, detektion unddragelse og post-kompromis nyttelast, ifølge en rapport i denne uge fra computergiganten.
"DEV-0569 er især afhængig af malvertising, phishing-links, der peger på en malware-downloader, der udgiver sig for at være softwareinstallatører eller opdateringer indlejret i spam-e-mails, falske forumsider og blogkommentarer,” sagde Microsoft-forskerne.
På blot et par måneder observerede Microsoft-teamet gruppens innovationer, herunder at skjule ondsindede links på organisationers kontaktformularer; begrave falske installatører på lovlige downloadsider og lagre; og bruge Google-annoncer i sine kampagner til at camouflere sine ondsindede aktiviteter.
"DEV-0569-aktivitet bruger signerede binære filer og leverer krypterede malware-nyttelaster," tilføjede Microsoft-teamet. "Gruppen, der også er kendt for at være stærkt afhængig af forsvars-unddragelsesteknikker, har fortsat med at bruge open source-værktøjet Nsudo til at forsøge at deaktivere antivirusløsninger i de seneste kampagner."
Gruppens succespositioner DEV-0569 at tjene som adgangsmægler for andre ransomware-operationer, sagde Microsoft Security.
Sådan bekæmpes cyberangrebs opfindsomhed
Bortset fra nye tricks, Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, påpeger, at trusselsgruppen faktisk foretager justeringer langs kanten af deres kampagnetaktik, men er konsekvent afhængig af, at brugerne laver fejl. For forsvaret er brugeruddannelsen altså nøglen, siger han.
"Phishing- og malvertising-angrebene, der er rapporteret her, er udelukkende afhængige af at få brugere til at interagere med lokken," siger Parkin til Dark Reading. "Hvilket betyder, at hvis brugeren ikke interagerer, er der intet brud."
Han tilføjer: "Sikkerhedsteams skal være på forkant med de seneste udnyttelser og malware, der bliver implementeret i naturen, men der er stadig et element af brugeruddannelse og bevidsthed, der kræves og altid vil være påkrævet, for at vende brugerfællesskabet fra det vigtigste. angrebsfladen ind i en solid forsvarslinje."
At gøre brugere uigennemtrængelige for lokker lyder bestemt som en solid strategi, men Chris Clements, vicepræsident for løsningsarkitektur hos Cerberus Sentinel, siger til Dark Reading, at det er "både urealistisk og uretfærdigt" at forvente, at brugerne opretholder 100 % årvågenhed over for stadig mere overbevisende sociale medier. tekniske kneb. I stedet kræves en mere holistisk tilgang til sikkerhed, forklarer han.
"Det påhviler derefter de tekniske og cybersikkerhedsteams i en organisation at sikre, at et kompromis af en enkelt bruger ikke fører til omfattende organisatorisk skade fra de mest almindelige cyberkriminelle mål med massedatatyveri og løsepenge," siger Clements.
IAM kontroller betyder noget
Robert Hughes, CISO hos RSA, anbefaler at starte med kontrol af identitets- og adgangsstyring (IAM).
"Stærk identitets- og adgangsstyring kan hjælpe med at kontrollere den laterale spredning af malware og begrænse dens påvirkning, selv efter en fejl på det menneskelige og endpoint-malwareforebyggelsesniveau, såsom at forhindre autoriseret person i at klikke på et link og installere software, som de har tilladelse til at installere,” fortæller Hughes til Dark Reading. "Når du har sikret dig, at dine data og identiteter er sikre, vil udfaldet af et ransomware-angreb ikke være så skadeligt - og det vil ikke være så meget af en indsats at genskabe et slutpunkt."
Phil Neray fra CardinalOps er enig. Han forklarer, at taktikker som ondsindet Google Ads er svære at forsvare sig imod, så sikkerhedsteams skal også fokusere på at minimere nedfald, når et ransomware-angreb indtræffer.
"Det betyder at sikre, at SoC'en har detektioner på plads for mistænkelig eller uautoriseret adfærd, såsom privilegieeskalering og brug af living-off-the-land admin værktøjer som PowerShell og fjernstyringsværktøjer,” siger Neray.
