Se alkaa yleensä haittaohjelmilla ja päättyy Royal ransomwaren käyttöönottoon, mutta uusi uhkaryhmä on eronnut kyvystään innovoida välissä olevia haitallisia vaiheita houkutellakseen uusia kohteita.
Tietojenkäsittelyjätin tällä viikolla julkaiseman raportin mukaan kyberhyökkäysryhmä, jota Microsoft Security Threat Intelligence seuraa nimellä DEV-0569, on merkittävä kyvystään jatkuvasti parantaa löytöjä, havaitsemiskierroksia ja kompromissien jälkeisiä hyötykuormia.
"DEV-0569 luottaa erityisesti malvertising, tietojenkalastelulinkit, jotka osoittavat haittaohjelmien lataajaan, joka esiintyy ohjelmiston asentajana tai päivityksissä, jotka on upotettu roskapostiviesteihin, vääriin foorumisivuihin ja blogikommentteihin”, Microsoftin tutkijat sanoivat.
Microsoft-tiimi havaitsi muutamassa kuukaudessa ryhmän innovaatioita, mukaan lukien haitallisten linkkien piilottamisen organisaatioiden yhteydenottolomakkeille; väärennettyjen asennusohjelmien hautaaminen laillisiin lataussivustoihin ja tietovarastoihin; ja käyttää Google-mainoksia kampanjoissaan haitallisten toimintojensa naamiointiin.
"DEV-0569-toiminta käyttää allekirjoitettuja binaaritiedostoja ja toimittaa salattuja haittaohjelmia", Microsoft-tiimi lisäsi. "Ryhmä, jonka tiedetään myös luottavan vahvasti puolustuksen kiertotekniikoihin, on jatkanut avoimen lähdekoodin työkalun Nsudon käyttöä yrittääkseen poistaa virustorjuntaratkaisut käytöstä viimeaikaisissa kampanjoissa."
Ryhmän menestysasemat DEV-0569 toimimaan pääsyvälittäjänä muille kiristyshaittaohjelmille, Microsoft Security sanoi.
Kuinka taistella kyberhyökkäysten kekseliäisyyttä vastaan
Uusia temppuja lukuun ottamatta Vulcan Cyberin vanhempi tekninen insinööri Mike Parkin huomauttaa, että uhkaryhmä todellakin tekee muutoksia kampanjataktiikkojensa rajoissa, mutta luottaa jatkuvasti siihen, että käyttäjät tekevät virheitä. Siten puolustuksessa käyttäjien koulutus on avainasemassa, hän sanoo.
"Tässä raportoidut tietojenkalastelu- ja haittahyökkäykset perustuvat täysin siihen, että käyttäjät saadaan vuorovaikutukseen vieheen kanssa", Parkin kertoo Dark Readingille. "Mikä tarkoittaa, että jos käyttäjä ei ole vuorovaikutuksessa, rikkomusta ei tapahdu."
Hän lisää: "Turvatiimien on pysyttävä viimeisimpien hyväksikäyttöjen ja haittaohjelmien kärjessä luonnossa, mutta silti on olemassa käyttäjien koulutusta ja tietoisuutta, joka tarvitaan ja tulee aina olemaan, jotta käyttäjäyhteisö voidaan kääntää pois pääkäyttäjästä. hyökkäyspinnasta kiinteäksi puolustuslinjaksi."
Käyttäjien tekeminen vieheille läpäisemättömiksi kuulostaa varmasti vakaalta strategialta, mutta Chris Clements, Cerberus Sentinelin ratkaisuarkkitehtuurista vastaava varajohtaja, kertoo Dark Readingille, että on "sekä epärealistista että epäreilua odottaa käyttäjien olevan 100 % valppaina yhä vakuuttuneempien sosiaalisten suhteiden edessä. tekniikan temppuja. Sen sijaan turvallisuuteen tarvitaan kokonaisvaltaisempaa lähestymistapaa, hän selittää.
"Sitten organisaation teknisten ja kyberturvallisuustiimien tehtävänä on varmistaa, että yksittäisen käyttäjän kompromissi ei johda laajalle levinneisiin organisaatiovaurioihin, jotka johtuvat yleisimmistä tietoverkkorikollisista tavoitteista, kuten massavarkauksista ja kiristysohjelmista", Clements sanoo.
IAM-ohjauksilla on väliä
Robert Hughes, RSA:n CISO, suosittelee aloittamaan identiteetin ja pääsynhallinnan (IAM) ohjaimista.
"Vahva identiteetin ja pääsyn hallinta voi auttaa hallitsemaan haittaohjelmien sivuttaista leviämistä ja rajoittamaan sen vaikutusta jopa ihmisen ja päätepisteen haittaohjelmien ehkäisytason epäonnistumisen jälkeen, kuten estämällä valtuutettua henkilöä napsauttamasta linkkiä ja asentamasta ohjelmistoja, joita he voivat käyttää. asentaa”, Hughes kertoo Dark Readingille. "Kun olet varmistanut, että tietosi ja henkilöllisyytesi ovat turvassa, lunnasohjelmahyökkäyksen seuraukset eivät ole yhtä vahingollisia – eikä päätepisteen uudelleenkuvaaminen ole yhtä paljon vaivaa."
Phil Neray CardinalOpsista on samaa mieltä. Hän selittää, että haitallisen Google Adsin kaltaisia taktiikoita on vaikea puolustaa, joten tietoturvatiimien on myös keskityttävä minimoimaan laskeumat, kun kiristysohjelmahyökkäys tapahtuu.
"Tämä tarkoittaa sen varmistamista, että SoC:ssa on havaittavia epäilyttävää tai luvatonta toimintaa, kuten oikeuksien eskaloitumista ja Living off-the-land -hallintatyökalut kuten PowerShell ja etähallintaohjelmat", Neray sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
