DEV-0569 Ransomware Group Εξαιρετικά καινοτόμο, Microsoft Cautions

Γενικά ξεκινά με κακόβουλη διαφήμιση και τελειώνει με την ανάπτυξη του Royal ransomware, αλλά μια νέα ομάδα απειλών έχει διακριθεί από την ικανότητά της να καινοτομεί τα κακόβουλα βήματα στο ενδιάμεσο για να δελεάσει νέους στόχους.

Η ομάδα κυβερνοεπιθέσεων, η οποία παρακολουθείται από τη Microsoft Security Threat Intelligence ως DEV-0569, είναι αξιοσημείωτη για την ικανότητά της να βελτιώνει συνεχώς την ανακάλυψη, την αποφυγή εντοπισμού και τα ωφέλιμα φορτία μετά τον συμβιβασμό, σύμφωνα με μια αναφορά αυτή την εβδομάδα από τον κολοσσό των υπολογιστών.

«Το DEV-0569 βασίζεται κυρίως σε malvertising, συνδέσμους ηλεκτρονικού ψαρέματος που παραπέμπουν σε πρόγραμμα λήψης κακόβουλου λογισμικού που παρουσιάζεται ως πρόγραμμα εγκατάστασης λογισμικού ή ενημερώσεις ενσωματωμένες σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, ψεύτικες σελίδες φόρουμ και σχόλια ιστολογίου», ανέφεραν οι ερευνητές της Microsoft.

Σε λίγους μόλις μήνες, η ομάδα της Microsoft παρατήρησε τις καινοτομίες της ομάδας, συμπεριλαμβανομένης της απόκρυψης κακόβουλων συνδέσμων στις φόρμες επικοινωνίας των οργανισμών. θάβοντας ψεύτικους εγκαταστάτες σε νόμιμες τοποθεσίες λήψης και αποθετήρια. και χρησιμοποιώντας διαφημίσεις Google στις καμπάνιες της για να καμουφλάρει τις κακόβουλες δραστηριότητές της.

"Η δραστηριότητα του DEV-0569 χρησιμοποιεί υπογεγραμμένα δυαδικά αρχεία και παρέχει κρυπτογραφημένα ωφέλιμα φορτία κακόβουλου λογισμικού", πρόσθεσε η ομάδα της Microsoft. «Η ομάδα, η οποία είναι επίσης γνωστή ότι βασίζεται σε μεγάλο βαθμό σε τεχνικές αμυντικής αποφυγής, συνέχισε να χρησιμοποιεί το εργαλείο ανοιχτού κώδικα Nsudo για να επιχειρήσει να απενεργοποιήσει λύσεις προστασίας από ιούς σε πρόσφατες καμπάνιες».

Οι θέσεις επιτυχίας της ομάδας DEV-0569 για να χρησιμεύσει ως μεσίτης πρόσβασης για άλλες λειτουργίες ransomware, είπε η Microsoft Security.

Πώς να καταπολεμήσετε την εφευρετικότητα των κυβερνοεπιθέσεων

Εκτός από τα νέα κόλπα, ο Mike Parkin, ανώτερος τεχνικός μηχανικός στη Vulcan Cyber, επισημαίνει ότι η ομάδα απειλών κάνει πράγματι προσαρμογές κατά μήκος των άκρων της τακτικής της καμπάνιας της, αλλά βασίζεται σταθερά στους χρήστες για να κάνουν λάθη. Έτσι, για την άμυνα, η εκπαίδευση των χρηστών είναι το κλειδί, λέει.

«Οι επιθέσεις phishing και κακόβουλης διαφήμισης που αναφέρονται εδώ βασίζονται αποκλειστικά στο να κάνουν τους χρήστες να αλληλεπιδράσουν με το δέλεαρ», λέει ο Parkin στο Dark Reading. "Που σημαίνει ότι εάν ο χρήστης δεν αλληλεπιδράσει, δεν υπάρχει παραβίαση."

Και προσθέτει, «Οι ομάδες ασφαλείας πρέπει να είναι μπροστά από τα πιο πρόσφατα exploits και malware που αναπτύσσονται στη φύση, αλλά εξακολουθεί να υπάρχει ένα στοιχείο εκπαίδευσης και ευαισθητοποίησης των χρηστών που απαιτείται, και θα απαιτείται πάντα, για να μετατρέψει την κοινότητα των χρηστών από την κύρια επιφάνεια επίθεσης σε μια σταθερή γραμμή άμυνας».

Το να κάνεις τους χρήστες αδιαπέραστους από δέλεαρ ακούγεται σίγουρα σαν μια σταθερή στρατηγική, αλλά ο Chris Clements, αντιπρόεδρος αρχιτεκτονικής λύσεων στο Cerberus Sentinel, λέει στο Dark Reading ότι είναι «μη ρεαλιστικό και άδικο» να περιμένει κανείς από τους χρήστες να διατηρήσουν 100% επαγρύπνηση απέναντι σε όλο και πιο πειστικά κοινωνικά μηχανολογικά κόλπα. Αντίθετα, απαιτείται μια πιο ολιστική προσέγγιση στην ασφάλεια, εξηγεί.

«Στη συνέχεια, εναπόκειται στις ομάδες τεχνικής και κυβερνοασφάλειας σε έναν οργανισμό να διασφαλίσουν ότι ένας συμβιβασμός ενός μεμονωμένου χρήστη δεν θα οδηγήσει σε εκτεταμένη οργανωτική ζημιά από τους πιο κοινούς κυβερνοεγκληματικούς στόχους της μαζικής κλοπής δεδομένων και ransomware», λέει ο Clements.

Το IAM ελέγχει το θέμα

Ο Robert Hughes, CISO στην RSA, συνιστά να ξεκινήσετε με τα στοιχεία ελέγχου ταυτότητας και διαχείρισης πρόσβασης (IAM).

«Η ισχυρή διακυβέρνηση ταυτότητας και πρόσβασης μπορεί να βοηθήσει στον έλεγχο της πλευρικής εξάπλωσης κακόβουλου λογισμικού και να περιορίσει τον αντίκτυπό του, ακόμη και μετά από αποτυχία σε επίπεδο πρόληψης κακόβουλου λογισμικού σε ανθρώπινους και τελικούς τομείς, όπως η διακοπή του εξουσιοδοτημένου ατόμου από το να κάνει κλικ σε έναν σύνδεσμο και να εγκαταστήσει λογισμικό που τους επιτρέπεται να εγκατάσταση», λέει ο Hughes στο Dark Reading. «Αφού βεβαιωθείτε ότι τα δεδομένα και οι ταυτότητές σας είναι ασφαλή, οι συνέπειες μιας επίθεσης ransomware δεν θα είναι τόσο επιζήμιες — και δεν θα είναι τόσο μεγάλη προσπάθεια να επαναλάβετε την εικόνα ενός τελικού σημείου».

Ο Phil Neray από το CardinalOps συμφωνεί. Εξηγεί ότι οι τακτικές όπως το κακόβουλο Google Ads είναι δύσκολο να αμυνθούν, επομένως οι ομάδες ασφαλείας πρέπει επίσης να επικεντρωθούν στην ελαχιστοποίηση των επιπτώσεων μόλις συμβεί μια επίθεση ransomware.

«Αυτό σημαίνει ότι βεβαιωθείτε ότι το SoC έχει ανιχνεύσεις για ύποπτες ή μη εξουσιοδοτημένες συμπεριφορές, όπως η κλιμάκωση των προνομίων και η χρήση εργαλεία διαχείρισης που ζουν εκτός της γης όπως το PowerShell και τα βοηθητικά προγράμματα απομακρυσμένης διαχείρισης», λέει ο Neray.