Generalmente inizia con il malvertising e termina con l'implementazione del ransomware Royal, ma un nuovo gruppo di minacce si è distinto per la sua capacità di innovare i passaggi dannosi intermedi per attirare nuovi obiettivi.
Il gruppo di attacco informatico, tracciato da Microsoft Security Threat Intelligence come DEV-0569, è noto per la sua capacità di migliorare continuamente la sua scoperta, l'evasione del rilevamento e i payload post-compromissione, secondo un rapporto di questa settimana dal gigante informatico.
“DEV-0569 si basa in particolare su malvertising, collegamenti di phishing che puntano a un downloader di malware che si spaccia per installatori di software o aggiornamenti incorporati in e-mail di spam, pagine di forum false e commenti di blog ", hanno affermato i ricercatori Microsoft.
In pochi mesi, il team Microsoft ha osservato le innovazioni del gruppo, tra cui l'occultamento di collegamenti dannosi sui moduli di contatto delle organizzazioni; seppellire programmi di installazione falsi su siti di download e repository legittimi; e utilizzando gli annunci di Google nelle sue campagne per camuffare le sue attività dannose.
"L'attività DEV-0569 utilizza binari firmati e fornisce payload di malware crittografati", ha aggiunto il team di Microsoft. "Il gruppo, noto anche per fare molto affidamento sulle tecniche di evasione della difesa, ha continuato a utilizzare lo strumento open source Nsudo per tentare di disabilitare le soluzioni antivirus nelle recenti campagne".
Le posizioni di successo del gruppo DEV-0569 per fungere da broker di accesso per altre operazioni ransomware, ha affermato Microsoft Security.
Come combattere l'ingegnosità degli attacchi informatici
Nuovi trucchi a parte, Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, sottolinea che il gruppo di minacce apporta effettivamente modifiche ai margini delle loro tattiche di campagna, ma si affida costantemente agli utenti per commettere errori. Quindi, per la difesa, l'educazione degli utenti è la chiave, dice.
"Gli attacchi di phishing e malvertising riportati qui si basano interamente sull'indurre gli utenti a interagire con l'esca", dice Parkin a Dark Reading. "Il che significa che se l'utente non interagisce, non c'è violazione."
Aggiunge: "I team di sicurezza devono stare al passo con gli ultimi exploit e malware distribuiti in natura, ma c'è ancora un elemento di educazione e consapevolezza degli utenti che è necessario, e sarà sempre necessario, per trasformare la comunità degli utenti dal principale superficie di attacco in una solida linea di difesa.
Rendere gli utenti impermeabili alle esche suona sicuramente come una solida strategia, ma Chris Clements, vice presidente dell'architettura delle soluzioni di Cerberus Sentinel, dice a Dark Reading che è "sia irrealistico che ingiusto" aspettarsi che gli utenti mantengano il 100% di vigilanza di fronte a social sempre più convincenti stratagemmi ingegneristici. Invece, è necessario un approccio più olistico alla sicurezza, spiega.
"Spetta quindi ai team tecnici e di sicurezza informatica di un'organizzazione garantire che la compromissione di un singolo utente non porti a danni organizzativi diffusi dagli obiettivi più comuni dei criminali informatici di furto di dati di massa e ransomware", afferma Clements.
IAM controlla la materia
Robert Hughes, CISO di RSA, consiglia di iniziare con i controlli IAM (Identity and Access Management).
"Una forte governance dell'identità e degli accessi può aiutare a controllare la diffusione laterale del malware e limitarne l'impatto, anche dopo un errore a livello di prevenzione del malware umano e dell'endpoint, come impedire a una persona autorizzata di fare clic su un collegamento e installare il software che è autorizzato a installare", dice Hughes a Dark Reading. "Una volta che ti sei assicurato che i tuoi dati e le tue identità siano al sicuro, la ricaduta di un attacco ransomware non sarà così dannosa e non sarà tanto uno sforzo per ricreare l'immagine di un endpoint."
Phil Neray di CardinalOps è d'accordo. Spiega che è difficile difendersi da tattiche come gli annunci dannosi di Google, quindi i team di sicurezza devono anche concentrarsi sulla riduzione al minimo delle ricadute quando si verifica un attacco ransomware.
"Ciò significa assicurarsi che il SoC disponga di rilevamenti per comportamenti sospetti o non autorizzati, come l'escalation dei privilegi e l'uso di strumenti di amministrazione che vivono fuori terra come PowerShell e utilità di gestione remota", afferma Neray.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
