Általában a rosszindulatú reklámozással kezdődik, és a Royal ransomware bevezetésével ér véget, de egy új fenyegető csoport kitűnt azzal, hogy képes megújítani a közöttük lévő rosszindulatú lépéseket, hogy új célpontokat csaljon ki.
A Microsoft Security Threat Intelligence által DEV-0569 néven nyomon követett kibertámadási csoport figyelemre méltó, hogy képes folyamatosan javítani a felfedezés, az észlelés elkerülése és a kompromisszumok utáni hasznos terhelést a számítástechnikai óriás e heti jelentése szerint.
„DEV-0569 különösen támaszkodik a rosszindulatú hirdetések, adathalász hivatkozások, amelyek egy rosszindulatú programletöltőre mutatnak, amely szoftvertelepítőnek vagy spam e-mailekbe, hamis fórumoldalakra és blogbejegyzésekbe ágyazott frissítéseknek adja ki magát” – mondták a Microsoft kutatói.
A Microsoft csapata néhány hónap alatt megfigyelte a csoport újításait, többek között a rosszindulatú hivatkozások elrejtését a szervezetek kapcsolatfelvételi űrlapjain; hamis telepítők eltemetése legitim letöltési oldalakon és adattárakba; és a Google hirdetéseket használja kampányaiban rosszindulatú tevékenységeinek álcázására.
„A DEV-0569 tevékenység aláírt bináris fájlokat használ, és titkosított kártevőket szállít” – tette hozzá a Microsoft csapata. "A csoport, amelyről ismert, hogy nagymértékben támaszkodik a védelmi kijátszási technikákra, továbbra is az Nsudo nyílt forráskódú eszközt használta a víruskereső megoldások letiltására a legutóbbi kampányaiban."
A csoport sikerpozíciói DEV-0569 hogy hozzáférési közvetítőként szolgáljon más zsarolóvírus-műveletekhez – mondta a Microsoft Security.
Hogyan küzdjünk a kibertámadások leleményessége ellen
Az új trükköktől eltekintve Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke rámutat, hogy a fenyegetett csoport valóban módosít a kampánytaktikája mentén, de következetesen a felhasználókra hagyatkozik a hibák elkövetésében. Így a védekezésben a felhasználói oktatás a kulcs, mondja.
„Az itt közölt adathalász és rosszindulatú hirdetési támadások teljes mértékben azon alapulnak, hogy a felhasználók interakcióba lépjenek a csalival” – mondja Parkin a Dark Readingnek. "Ami azt jelenti, hogy ha a felhasználó nem lép interakcióba, akkor nincs jogsértés."
Hozzáteszi: „A biztonsági csapatoknak a vadonban elterjedt legfrissebb kizsákmányolások és rosszindulatú programok előtt kell maradniuk, de továbbra is van egy olyan felhasználói oktatás és tudatosság, amelyre szükség van, és mindig is szükség lesz ahhoz, hogy a felhasználói közösséget elfordítsák támadási felület egy szilárd védelmi vonalat.”
A felhasználókat a csalikkal szemben ellenállhatatlanná tenni határozott stratégiaként hangzik, de Chris Clements, a Cerberus Sentinel megoldásarchitektúrájának alelnöke azt mondja a Dark Readingnek, hogy „egyszerre irreális és igazságtalan” elvárni a felhasználóktól, hogy 100%-os éberséget tartsanak fenn az egyre meggyőzőbb közösségi oldalakkal szemben. mérnöki trükkök. Ehelyett a biztonság holisztikusabb megközelítésére van szükség – magyarázza.
„Ezután a szervezet műszaki és kiberbiztonsági csapatainak feladata annak biztosítása, hogy egyetlen felhasználó kompromisszuma ne vezessen széles körű szervezeti károkhoz a tömeges adatlopás és zsarolóprogramok leggyakoribb kiberbűnözői céljai miatt” – mondja Clements.
Az IAM-vezérlések számítanak
Robert Hughes, az RSA CISO-ja azt javasolja, hogy kezdje az identitás- és hozzáférés-kezelési (IAM) vezérlőkkel.
„Az erős identitás- és hozzáférés-szabályozás segíthet a rosszindulatú programok oldalirányú terjedésének szabályozásában és hatásának korlátozásában, még az emberi és végponti rosszindulatú programok megelőzésének szintjén bekövetkezett hiba után is, például megakadályozza, hogy az arra jogosult személyek rákattintsanak egy hivatkozásra, és olyan szoftvereket telepítsenek, amelyekre jogosultak. telepíteni” – mondja Hughes a Dark Readingnek. „Miután megbizonyosodott arról, hogy adatai és identitásai biztonságban vannak, a zsarolóprogramok támadása nem lesz olyan káros – és nem lesz olyan nagy erőfeszítés egy végpont újraképezése.”
Phil Neray, a CardinalOps munkatársa egyetért. Kifejti, hogy az olyan taktikákkal, mint a rosszindulatú Google Ads, nehéz védekezni, ezért a biztonsági csapatoknak arra is összpontosítaniuk kell, hogy a zsarolóprogramok támadása esetén minimalizálják a kiesést.
"Ez azt jelenti, hogy gondoskodni kell arról, hogy az SoC észlelje a gyanús vagy jogosulatlan viselkedést, például a jogosultság kiterjesztését és a élő-off-the-land admin eszközök mint például a PowerShell és a távfelügyeleti segédprogramok – mondja Neray.
