Ini biasanya dimulai dengan malvertising dan diakhiri dengan penyebaran ransomware Royal, tetapi kelompok ancaman baru telah membedakan dirinya dengan kemampuannya untuk berinovasi dengan langkah-langkah jahat di antaranya untuk memikat target baru.
Grup serangan siber, yang dilacak oleh Microsoft Security Threat Intelligence sebagai DEV-0569, terkenal karena kemampuannya untuk terus meningkatkan penemuan, penghindaran deteksi, dan muatan pasca-kompromi, menurut sebuah laporan minggu ini dari raksasa komputasi tersebut.
โDEV-0569 terutama mengandalkan malvertising, tautan phishing yang mengarah ke pengunduh malware yang menyamar sebagai penginstal perangkat lunak atau pembaruan yang disematkan dalam email spam, halaman forum palsu, dan komentar blog,โ kata para peneliti Microsoft.
Hanya dalam beberapa bulan, tim Microsoft mengamati inovasi grup, termasuk menyembunyikan tautan jahat di formulir kontak organisasi; mengubur penginstal palsu di situs unduhan dan repositori yang sah; dan menggunakan iklan Google dalam kampanyenya untuk menyamarkan aktivitas jahatnya.
โAktivitas DEV-0569 menggunakan binari yang ditandatangani dan mengirimkan muatan malware terenkripsi,โ tambah tim Microsoft. โGrup tersebut, yang juga dikenal sangat bergantung pada teknik penghindaran pertahanan, terus menggunakan alat sumber terbuka Nsudo untuk mencoba menonaktifkan solusi antivirus dalam kampanye baru-baru ini.โ
Posisi sukses grup PERANGKAT-0569 untuk melayani sebagai broker akses untuk operasi ransomware lainnya, kata Microsoft Security.
Cara Memerangi Kecerdasan Cyberattack
Selain trik baru, Mike Parkin, insinyur teknis senior di Vulcan Cyber, menunjukkan bahwa kelompok ancaman memang melakukan penyesuaian di sepanjang tepi taktik kampanye mereka, tetapi secara konsisten mengandalkan pengguna untuk membuat kesalahan. Jadi, untuk pertahanan, pendidikan pengguna adalah kuncinya, ujarnya.
โSerangan phishing dan malvertising yang dilaporkan di sini sepenuhnya bergantung pada membuat pengguna berinteraksi dengan iming-iming tersebut,โ kata Parkin kepada Dark Reading. Artinya, jika pengguna tidak berinteraksi, tidak ada pelanggaran.
Dia menambahkan, โTim keamanan harus tetap berada di depan eksploitasi terbaru dan malware yang digunakan di alam liar, tetapi masih ada unsur pendidikan dan kesadaran pengguna yang diperlukan, dan akan selalu diperlukan, untuk mengubah komunitas pengguna dari yang utama. permukaan serangan menjadi garis pertahanan yang solid.
Membuat pengguna kebal terhadap umpan tentu terdengar seperti strategi yang solid, tetapi Chris Clements, wakil presiden arsitektur solusi di Cerberus Sentinel, mengatakan kepada Dark Reading bahwa "tidak realistis dan tidak adil" mengharapkan pengguna mempertahankan kewaspadaan 100% di hadapan media sosial yang semakin meyakinkan. siasat rekayasa. Sebaliknya, diperlukan pendekatan keamanan yang lebih holistik, jelasnya.
โKemudian, tim teknis dan keamanan dunia maya di suatu organisasi harus memastikan bahwa kompromi satu pengguna tidak menyebabkan kerusakan organisasi yang meluas dari tujuan kejahatan dunia maya yang paling umum dari pencurian data massal dan ransomware,โ kata Clements.
Masalah Kontrol IAM
Robert Hughes, CISO di RSA, merekomendasikan untuk memulai dengan kontrol identitas dan manajemen akses (IAM).
Identitas yang kuat dan tata kelola akses dapat membantu mengontrol penyebaran lateral malware dan membatasi dampaknya, bahkan setelah kegagalan pada tingkat pencegahan malware manusia dan titik akhir, seperti menghentikan individu yang berwenang untuk mengklik tautan dan menginstal perangkat lunak yang diizinkan untuk mereka. instal, โkata Hughes kepada Dark Reading. โSetelah Anda memastikan bahwa data dan identitas Anda aman, dampak serangan ransomware tidak akan terlalu merusak โ dan tidak akan terlalu merepotkan untuk melakukan pencitraan ulang titik akhir.โ
Phil Neray dari CardinalOps setuju. Dia menjelaskan bahwa taktik seperti Google Ads yang berbahaya sangat sulit untuk dilawan, sehingga tim keamanan juga harus fokus untuk meminimalkan dampak setelah serangan ransomware terjadi.
โItu berarti memastikan SoC memiliki deteksi untuk perilaku yang mencurigakan atau tidak sah, seperti eskalasi hak istimewa dan penggunaan alat admin hidup-dari-tanah seperti PowerShell dan utilitas manajemen jarak jauh,โ kata Neray.
