Generalmente comienza con publicidad maliciosa y termina con la implementación de Royal ransomware, pero un nuevo grupo de amenazas se ha distinguido por su capacidad de innovar los pasos maliciosos intermedios para atraer nuevos objetivos.
El grupo de ciberataques, rastreado por Microsoft Security Threat Intelligence como DEV-0569, se destaca por su capacidad para mejorar continuamente sus cargas útiles de descubrimiento, evasión de detección y post-compromiso, según un informe de esta semana del gigante informático.
“DEV-0569 se basa notablemente en malvertising, enlaces de phishing que apuntan a un descargador de malware que se hace pasar por instaladores de software o actualizaciones incrustadas en correos electrónicos no deseados, páginas de foros falsas y comentarios de blogs”, dijeron los investigadores de Microsoft.
En solo unos meses, el equipo de Microsoft observó las innovaciones del grupo, incluida la ocultación de enlaces maliciosos en los formularios de contacto de las organizaciones; enterrar instaladores falsos en repositorios y sitios de descarga legítimos; y el uso de anuncios de Google en sus campañas para camuflar sus actividades maliciosas.
“La actividad DEV-0569 utiliza binarios firmados y entrega cargas de malware encriptadas”, agregó el equipo de Microsoft. “El grupo, también conocido por depender en gran medida de las técnicas de evasión de defensa, ha seguido utilizando la herramienta de código abierto Nsudo para intentar desactivar las soluciones antivirus en campañas recientes”.
Las posiciones de éxito del grupo DEV-0569 para servir como intermediario de acceso para otras operaciones de ransomware, dijo Microsoft Security.
Cómo combatir el ingenio del ciberataque
Dejando a un lado los nuevos trucos, Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, señala que el grupo de amenazas de hecho hace ajustes en los bordes de sus tácticas de campaña, pero confía constantemente en los usuarios para cometer errores. Por lo tanto, para la defensa, la educación del usuario es la clave, dice.
“Los ataques de phishing y publicidad maliciosa informados aquí se basan completamente en hacer que los usuarios interactúen con el señuelo”, dice Parkin a Dark Reading. “Lo que significa que si el usuario no interactúa, no hay infracción”.
Agrega: "Los equipos de seguridad deben mantenerse a la vanguardia de las últimas vulnerabilidades y el malware que se implementa en la naturaleza, pero todavía hay un elemento de educación y conciencia del usuario que se requiere, y siempre se requerirá, para convertir a la comunidad de usuarios de la principal superficie de ataque en una sólida línea de defensa.”
Hacer que los usuarios sean inmunes a los señuelos ciertamente suena como una estrategia sólida, pero Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, le dice a Dark Reading que es "poco realista e injusto" esperar que los usuarios mantengan un 100% de vigilancia frente a las redes sociales cada vez más convincentes. estratagemas de ingeniería. En cambio, se requiere un enfoque más holístico de la seguridad, explica.
“Entonces, corresponde a los equipos técnicos y de ciberseguridad de una organización garantizar que el compromiso de un solo usuario no provoque un daño organizacional generalizado debido a los objetivos ciberdelincuentes más comunes de robo masivo de datos y ransomware”, dice Clements.
Importancia de los controles de IAM
Robert Hughes, CISO de RSA, recomienda comenzar con controles de gestión de acceso e identidad (IAM).
“Un gobierno de identidad y acceso sólido puede ayudar a controlar la propagación lateral del malware y limitar su impacto, incluso después de una falla en el nivel de prevención de malware humano y de punto final, como evitar que una persona autorizada haga clic en un enlace e instale el software que tiene permitido. instalar”, le dice Hughes a Dark Reading. "Una vez que se haya asegurado de que sus datos e identidades estén seguros, las consecuencias de un ataque de ransomware no serán tan dañinas, y no será un gran esfuerzo volver a crear una imagen de un punto final".
Phil Neray de CardinalOps está de acuerdo. Explica que tácticas como los anuncios maliciosos de Google son difíciles de defender, por lo que los equipos de seguridad también deben centrarse en minimizar las consecuencias una vez que ocurre un ataque de ransomware.
“Eso significa asegurarse de que el SoC tenga detecciones para comportamientos sospechosos o no autorizados, como la escalada de privilegios y el uso de herramientas de administración de living-off-the-land como PowerShell y las utilidades de administración remota”, dice Neray.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
