Es beginnt im Allgemeinen mit Malvertising und endet mit dem Einsatz von Royal Ransomware, aber eine neue Bedrohungsgruppe hat sich durch ihre Fähigkeit hervorgetan, die böswilligen Schritte dazwischen zu erneuern, um neue Ziele anzulocken.
Die Cyberangriffsgruppe, die von Microsoft Security Threat Intelligence als DEV-0569 verfolgt wird, zeichnet sich laut einem Bericht des Computerriesen von dieser Woche durch ihre Fähigkeit aus, ihre Entdeckung, Umgehung der Erkennung und Payloads nach Kompromittierung kontinuierlich zu verbessern.
„DEV-0569 stützt sich vor allem auf Malvertising, Phishing-Links, die auf einen Malware-Downloader verweisen, der sich als Software-Installer oder Updates ausgibt, die in Spam-E-Mails, gefälschte Forenseiten und Blog-Kommentare eingebettet sind“, so die Microsoft-Forscher.
In nur wenigen Monaten beobachtete das Microsoft-Team die Innovationen der Gruppe, darunter das Verbergen bösartiger Links in den Kontaktformularen von Organisationen; das Vergraben gefälschter Installationsprogramme auf legitimen Download-Sites und Repositories; und die Verwendung von Google-Anzeigen in seinen Kampagnen, um seine böswilligen Aktivitäten zu tarnen.
„Die DEV-0569-Aktivität verwendet signierte Binärdateien und liefert verschlüsselte Malware-Payloads“, fügte das Microsoft-Team hinzu. „Die Gruppe, die auch dafür bekannt ist, sich stark auf Abwehrtechniken zu verlassen, hat in den letzten Kampagnen weiterhin das Open-Source-Tool Nsudo verwendet, um zu versuchen, Antivirus-Lösungen zu deaktivieren.“
Die Erfolgspositionen der Gruppe DEV-0569 um als Zugangsbroker für andere Ransomware-Operationen zu dienen, sagte Microsoft Security.
Wie man Cyberattacken Einfallsreichtum bekämpft
Abgesehen von neuen Tricks weist Mike Parkin, Senior Technical Engineer bei Vulcan Cyber, darauf hin, dass die Bedrohungsgruppe tatsächlich Anpassungen an den Rändern ihrer Kampagnentaktik vornimmt, sich aber konsequent darauf verlässt, dass Benutzer Fehler machen. Daher sei für die Verteidigung die Aufklärung der Benutzer der Schlüssel, sagt er.
„Die hier gemeldeten Phishing- und Malvertising-Angriffe beruhen ausschließlich darauf, Benutzer dazu zu bringen, mit dem Köder zu interagieren“, sagt Parkin gegenüber Dark Reading. „Das heißt, wenn der Benutzer nicht interagiert, gibt es keinen Verstoß.“
Er fügt hinzu: „Sicherheitsteams müssen den neuesten Exploits und Malware, die in freier Wildbahn eingesetzt werden, immer einen Schritt voraus sein, aber es gibt immer noch ein Element der Benutzerschulung und des Bewusstseins, das erforderlich ist und immer erforderlich sein wird, um die Benutzergemeinschaft von der Hauptsache abzulenken Angriffsfläche zu einer soliden Verteidigungslinie.“
Benutzer unempfindlich gegen Köder zu machen, klingt sicherlich nach einer soliden Strategie, aber Chris Clements, Vizepräsident für Lösungsarchitektur bei Cerberus Sentinel, sagt gegenüber Dark Reading, es sei „sowohl unrealistisch als auch unfair“, von Benutzern zu erwarten, dass sie angesichts zunehmend überzeugender sozialer Medien 100 % wachsam bleiben technische Tricks. Stattdessen sei ein ganzheitlicherer Sicherheitsansatz erforderlich, erklärt er.
„Dann obliegt es den Technik- und Cybersicherheitsteams eines Unternehmens sicherzustellen, dass die Kompromittierung eines einzelnen Benutzers nicht zu weitreichenden organisatorischen Schäden durch die häufigsten cyberkriminellen Ziele wie Massendatendiebstahl und Ransomware führt“, sagt Clements.
IAM kontrolliert Materie
Robert Hughes, CISO bei RSA, empfiehlt, mit Identity and Access Management (IAM)-Kontrollen zu beginnen.
„Eine starke Identitäts- und Zugriffssteuerung kann dazu beitragen, die laterale Verbreitung von Malware zu kontrollieren und ihre Auswirkungen zu begrenzen, selbst nach einem Fehler auf der Malware-Präventionsebene für Menschen und Endpunkte, z. B. indem autorisierte Personen daran gehindert werden, auf einen Link zu klicken und Software zu installieren, zu der sie berechtigt sind installieren“, sagt Hughes zu Dark Reading. „Sobald Sie sichergestellt haben, dass Ihre Daten und Identitäten sicher sind, werden die Folgen eines Ransomware-Angriffs nicht so schädlich sein – und es wird nicht so viel Aufwand bedeuten, einen Endpunkt neu abzubilden.“
Phil Neray von CardinalOps stimmt zu. Er erklärt, dass Taktiken wie böswillige Google-Anzeigen schwer zu verteidigen sind, daher müssen sich Sicherheitsteams auch darauf konzentrieren, die Folgen eines Ransomware-Angriffs zu minimieren.
„Das bedeutet, sicherzustellen, dass das SoC über Erkennungen für verdächtiges oder nicht autorisiertes Verhalten verfügt, wie z. B. die Eskalation von Berechtigungen und die Verwendung von Living-off-the-Land-Verwaltungstools wie PowerShell und Fernverwaltungsprogramme“, sagt Neray.
