این به طور کلی با تبلیغات بد شروع می شود و با استقرار باج افزار رویال خاتمه می یابد، اما یک گروه تهدید جدید خود را با توانایی خود در نوآوری مراحل مخرب در میان برای جذب اهداف جدید متمایز کرده است.
بر اساس گزارشی که این هفته از غول محاسباتی منتشر شد، گروه حمله سایبری که توسط Microsoft Security Threat Intelligence با نام DEV-0569 ردیابی میشود، به دلیل توانایی خود در بهبود مستمر کشف، فرار شناسایی و محمولههای پس از سازش قابل توجه است.
«DEV-0569 به طور قابل توجهی به آن متکی است موزیکمحققان مایکروسافت گفتند، لینکهای فیشینگ که به دانلودکننده بدافزار اشاره میکنند که خود را نصبکننده نرمافزار یا بهروزرسانیهای تعبیهشده در ایمیلهای هرزنامه، صفحات انجمن جعلی و نظرات وبلاگ نشان میدهد.
تنها در چند ماه، تیم مایکروسافت نوآوریهای گروه را مشاهده کرد، از جمله پنهان کردن پیوندهای مخرب در فرمهای تماس سازمانها. دفن نصب کننده های جعلی در سایت ها و مخازن دانلود قانونی؛ و استفاده از تبلیغات گوگل در کمپین های خود برای استتار فعالیت های مخرب خود.
تیم مایکروسافت افزود: "فعالیت DEV-0569 از باینری های امضا شده استفاده می کند و بارهای بدافزار رمزگذاری شده را ارائه می دهد." این گروه که به شدت بر تکنیکهای فرار دفاعی متکی است، همچنان از ابزار منبع باز Nsudo برای غیرفعال کردن راهحلهای آنتی ویروس در کمپینهای اخیر استفاده میکند.
موقعیت های موفقیت گروه DEV-0569 Microsoft Security گفت که به عنوان یک واسطه دسترسی برای سایر عملیات باج افزار عمل کند.
چگونه با نبوغ حملات سایبری مبارزه کنیم
به کنار ترفندهای جدید، مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، اشاره میکند که گروه تهدید در واقع تنظیماتی را در لبههای تاکتیکهای کمپین خود انجام میدهد، اما به طور مداوم به کاربران برای اشتباه کردن متکی است. بنابراین، برای دفاع، آموزش کاربر کلید اصلی است.
پارکین به Dark Reading میگوید: «حملات فیشینگ و بدافزاری که در اینجا گزارش شدهاند، کاملاً متکی به وادار کردن کاربران به تعامل با فریب هستند. "به این معنی که اگر کاربر تعامل نداشته باشد، هیچ نقضی وجود ندارد."
او میافزاید، «تیمهای امنیتی باید جلوتر از جدیدترین سوء استفادهها و بدافزارهایی باشند که در طبیعت مستقر شدهاند، اما هنوز یک عنصر آموزش و آگاهی کاربر وجود دارد که برای تبدیل جامعه کاربر از حالت اصلی مورد نیاز است و همیشه مورد نیاز خواهد بود. سطح حمله را به یک خط دفاعی مستحکم تبدیل کنید.»
غیرقابل نفوذ کردن کاربران در برابر فریبها مطمئناً استراتژی محکمی به نظر میرسد، اما کریس کلمنتز، معاون معماری راهحلها در Cerberus Sentinel، به Dark Reading میگوید که انتظار داشتن 100 درصد هوشیاری کاربران در مواجهه با قانعکنندههای اجتماعی، «هم غیرواقعی و هم غیرمنصفانه» است. ترفندهای مهندسی او توضیح می دهد که در عوض، یک رویکرد جامع تر به امنیت مورد نیاز است.
کلمنتز میگوید: «آنگاه این بر عهده تیمهای فنی و امنیت سایبری در یک سازمان است که اطمینان حاصل کنند که مصالحه یک کاربر منجر به آسیب گسترده سازمانی از رایجترین اهداف مجرمانه سایبری سرقت انبوه دادهها و باجافزار نمیشود».
IAM ماده را کنترل می کند
رابرت هیوز، CISO در RSA، توصیه میکند با کنترلهای مدیریت هویت و دسترسی (IAM) شروع کنید.
هویت قوی و حاکمیت دسترسی میتواند به کنترل گسترش جانبی بدافزار کمک کند و تأثیر آن را محدود کند، حتی پس از شکست در سطح پیشگیری از بدافزار انسانی و نقطه پایانی، مانند متوقف کردن افراد مجاز از کلیک کردن روی پیوند و نصب نرمافزاری که مجاز به انجام آن هستند. هیوز به Dark Reading می گوید. هنگامی که از ایمن بودن داده ها و هویت خود اطمینان حاصل کردید، پیامدهای یک حمله باج افزار به این اندازه آسیب زا نخواهد بود - و تلاش زیادی برای تصویربرداری مجدد از نقطه پایانی نخواهد بود.
Phil Neray از CardinalOps موافق است. او توضیح میدهد که دفاع در برابر تاکتیکهایی مانند تبلیغات مخرب گوگل دشوار است، بنابراین تیمهای امنیتی باید پس از وقوع یک حمله باجافزار، روی به حداقل رساندن عواقب تمرکز کنند.
این بدان معناست که مطمئن شوید که SoC شناسایی هایی برای رفتارهای مشکوک یا غیرمجاز، مانند افزایش امتیاز و استفاده از ابزارهای مدیریت زندگی در خارج از زمین Neray می گوید مانند PowerShell و ابزارهای مدیریت از راه دور.