DEV-0569 Ransomware Group به طور قابل توجهی نوآورانه، هشدارهای مایکروسافت

این به طور کلی با تبلیغات بد شروع می شود و با استقرار باج افزار رویال خاتمه می یابد، اما یک گروه تهدید جدید خود را با توانایی خود در نوآوری مراحل مخرب در میان برای جذب اهداف جدید متمایز کرده است.

بر اساس گزارشی که این هفته از غول محاسباتی منتشر شد، گروه حمله سایبری که توسط Microsoft Security Threat Intelligence با نام DEV-0569 ردیابی می‌شود، به دلیل توانایی خود در بهبود مستمر کشف، فرار شناسایی و محموله‌های پس از سازش قابل توجه است.

«DEV-0569 به طور قابل توجهی به آن متکی است موزیکمحققان مایکروسافت گفتند، لینک‌های فیشینگ که به دانلودکننده بدافزار اشاره می‌کنند که خود را نصب‌کننده نرم‌افزار یا به‌روزرسانی‌های تعبیه‌شده در ایمیل‌های هرزنامه، صفحات انجمن جعلی و نظرات وبلاگ نشان می‌دهد.

تنها در چند ماه، تیم مایکروسافت نوآوری‌های گروه را مشاهده کرد، از جمله پنهان کردن پیوندهای مخرب در فرم‌های تماس سازمان‌ها. دفن نصب کننده های جعلی در سایت ها و مخازن دانلود قانونی؛ و استفاده از تبلیغات گوگل در کمپین های خود برای استتار فعالیت های مخرب خود.

تیم مایکروسافت افزود: "فعالیت DEV-0569 از باینری های امضا شده استفاده می کند و بارهای بدافزار رمزگذاری شده را ارائه می دهد." این گروه که به شدت بر تکنیک‌های فرار دفاعی متکی است، همچنان از ابزار منبع باز Nsudo برای غیرفعال کردن راه‌حل‌های آنتی ویروس در کمپین‌های اخیر استفاده می‌کند.

موقعیت های موفقیت گروه DEV-0569 Microsoft Security گفت که به عنوان یک واسطه دسترسی برای سایر عملیات باج افزار عمل کند.

چگونه با نبوغ حملات سایبری مبارزه کنیم

به کنار ترفندهای جدید، مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، اشاره می‌کند که گروه تهدید در واقع تنظیماتی را در لبه‌های تاکتیک‌های کمپین خود انجام می‌دهد، اما به طور مداوم به کاربران برای اشتباه کردن متکی است. بنابراین، برای دفاع، آموزش کاربر کلید اصلی است.

پارکین به Dark Reading می‌گوید: «حملات فیشینگ و بدافزاری که در اینجا گزارش شده‌اند، کاملاً متکی به وادار کردن کاربران به تعامل با فریب هستند. "به این معنی که اگر کاربر تعامل نداشته باشد، هیچ نقضی وجود ندارد."

او می‌افزاید، «تیم‌های امنیتی باید جلوتر از جدیدترین سوء استفاده‌ها و بدافزارهایی باشند که در طبیعت مستقر شده‌اند، اما هنوز یک عنصر آموزش و آگاهی کاربر وجود دارد که برای تبدیل جامعه کاربر از حالت اصلی مورد نیاز است و همیشه مورد نیاز خواهد بود. سطح حمله را به یک خط دفاعی مستحکم تبدیل کنید.»

غیرقابل نفوذ کردن کاربران در برابر فریب‌ها مطمئناً استراتژی محکمی به نظر می‌رسد، اما کریس کلمنتز، معاون معماری راه‌حل‌ها در Cerberus Sentinel، به Dark Reading می‌گوید که انتظار داشتن 100 درصد هوشیاری کاربران در مواجهه با قانع‌کننده‌های اجتماعی، «هم غیرواقعی و هم غیرمنصفانه» است. ترفندهای مهندسی او توضیح می دهد که در عوض، یک رویکرد جامع تر به امنیت مورد نیاز است.

کلمنتز می‌گوید: «آنگاه این بر عهده تیم‌های فنی و امنیت سایبری در یک سازمان است که اطمینان حاصل کنند که مصالحه یک کاربر منجر به آسیب گسترده سازمانی از رایج‌ترین اهداف مجرمانه سایبری سرقت انبوه داده‌ها و باج‌افزار نمی‌شود».

IAM ماده را کنترل می کند

رابرت هیوز، CISO در RSA، توصیه می‌کند با کنترل‌های مدیریت هویت و دسترسی (IAM) شروع کنید.

هویت قوی و حاکمیت دسترسی می‌تواند به کنترل گسترش جانبی بدافزار کمک کند و تأثیر آن را محدود کند، حتی پس از شکست در سطح پیشگیری از بدافزار انسانی و نقطه پایانی، مانند متوقف کردن افراد مجاز از کلیک کردن روی پیوند و نصب نرم‌افزاری که مجاز به انجام آن هستند. هیوز به Dark Reading می گوید. هنگامی که از ایمن بودن داده ها و هویت خود اطمینان حاصل کردید، پیامدهای یک حمله باج افزار به این اندازه آسیب زا نخواهد بود - و تلاش زیادی برای تصویربرداری مجدد از نقطه پایانی نخواهد بود.

Phil Neray از CardinalOps موافق است. او توضیح می‌دهد که دفاع در برابر تاکتیک‌هایی مانند تبلیغات مخرب گوگل دشوار است، بنابراین تیم‌های امنیتی باید پس از وقوع یک حمله باج‌افزار، روی به حداقل رساندن عواقب تمرکز کنند.

این بدان معناست که مطمئن شوید که SoC شناسایی هایی برای رفتارهای مشکوک یا غیرمجاز، مانند افزایش امتیاز و استفاده از ابزارهای مدیریت زندگی در خارج از زمین Neray می گوید مانند PowerShell و ابزارهای مدیریت از راه دور.