זה בדרך כלל מתחיל ב-malvertising ומסתיים בפריסה של Royal Ransomware, אבל קבוצת איומים חדשה התייחדה ביכולת שלה לחדש את הצעדים הזדוניים שביניהם כדי למשוך יעדים חדשים.
קבוצת מתקפות הסייבר, המלווה על ידי Microsoft Security Threat Intelligence כ-DEV-0569, בולטת ביכולתה לשפר ללא הרף את הגילוי, ההתחמקות מזיהוי ומטעני ה-post-compromitting שלה, על פי דיווח השבוע של ענקית המחשוב.
"DEV-0569 מסתמך במיוחד על פרסום, קישורי פישינג המצביעים על הורדת תוכנות זדוניות שמתחזה למתקיני תוכנה או עדכונים המוטמעים בהודעות דואר זבל, דפי פורומים מזויפים ותגובות בבלוג", אמרו החוקרים של מיקרוסופט.
תוך מספר חודשים בלבד, צוות מיקרוסופט צפה בחידושים של הקבוצה, כולל הסתרת קישורים זדוניים בטפסי יצירת קשר של ארגונים; הטמנת מתקינים מזויפים באתרי הורדות ובמאגרים לגיטימיים; ושימוש במודעות גוגל במסעות הפרסום שלה כדי להסוות את הפעילויות הזדוניות שלה.
"פעילות DEV-0569 משתמשת בקבצים בינאריים חתומים ומספקת מטענים מוצפנים של תוכנות זדוניות", הוסיף צוות מיקרוסופט. "הקבוצה, הידועה גם כמסתמכת במידה רבה על טכניקות התחמקות מהגנה, המשיכה להשתמש בכלי הקוד הפתוח Nsudo כדי לנסות להשבית פתרונות אנטי-וירוס בקמפיינים האחרונים".
עמדות ההצלחה של הקבוצה DEV-0569 לשמש כמתווך גישה לפעולות אחרות של תוכנות כופר, אמרה אבטחת מיקרוסופט.
כיצד להילחם בכושר ההמצאה של מתקפות סייבר
טריקים חדשים בצד, מייק פרקין, מהנדס טכני בכיר בוולקן סייבר, מציין שקבוצת האיומים אכן מבצעת התאמות בשולי טקטיקת הקמפיין שלה, אך מסתמכת באופן עקבי על המשתמשים שיעשו טעויות. לפיכך, להגנה, חינוך משתמשים הוא המפתח, הוא אומר.
"התקפות הדיוג והדיוג המדווחות כאן מסתמכות לחלוטין על לגרום למשתמשים ליצור אינטראקציה עם הפיתוי", אומר פרקין לדארק רידינג. "מה שאומר שאם המשתמש לא יוצר אינטראקציה, אין הפרה."
הוא מוסיף, "צוותי אבטחה צריכים להקדים את הניצולים והתוכנות הזדוניות האחרונות שנפרסות בטבע, אבל עדיין יש אלמנט של חינוך ומודעות למשתמשים שנדרש, ויידרש תמיד, כדי להפוך את קהילת המשתמשים מהעיקרית. משטח ההתקפה לתוך קו הגנה יציב".
הפיכת המשתמשים לבלתי אטומים בפני פיתויים בהחלט נשמעת כמו אסטרטגיה מוצקה, אבל כריס קלמנטס, סגן נשיא לארכיטקטורת פתרונות ב-Cerberus Sentinel, אומר ל-Dark Reading שזה "גם לא מציאותי וגם לא הוגן" לצפות מהמשתמשים לשמור על ערנות של 100% מול גורמים חברתיים יותר ויותר משכנעים. תחבולות הנדסיות. במקום זאת, נדרשת גישה הוליסטית יותר לאבטחה, הוא מסביר.
"זה נופל אז לצוותים הטכניים ואבטחת הסייבר בארגון להבטיח שפשרה של משתמש בודד לא תוביל לנזק ארגוני נרחב מהמטרות הנפוצות ביותר של עברייני סייבר של גניבת נתונים המונית ותוכנות כופר", אומר קלמנטס.
IAM בקרות חשובות
רוברט יוז, CISO ב-RSA, ממליץ להתחיל עם בקרות ניהול זהויות וגישה (IAM).
"זהות חזקה וממשל גישה יכולים לעזור לשלוט בהפצה לרוחב של תוכנות זדוניות ולהגביל את השפעתה, גם לאחר כשל ברמת מניעת תוכנות זדוניות אנושיות ונקודות קצה, כגון עצירת אדם מורשה מללחוץ על קישור והתקנת תוכנה שהם רשאים לבצע להתקין", אומר יוז ל-Dark Reading. "ברגע שהבטחת שהנתונים והזהות שלך בטוחים, ההשפעה של מתקפת כופר לא תהיה מזיקה באותה מידה - וזה לא יהיה כל כך מאמץ לצלם מחדש את נקודת הקצה."
פיל נריי מ-CardinalOps מסכים. הוא מסביר שקשה להתגונן מפני טקטיקות כמו Google Ads זדוניות, כך שצוותי אבטחה חייבים להתמקד גם במזעור הנשורת ברגע שמתרחשת התקפת תוכנת כופר.
"זה אומר לוודא של-SoC יש זיהויים עבור התנהגות חשודה או לא מורשית, כגון הסלמה של הרשאות ושימוש ב כלי ניהול לחיות מחוץ לאדמה כמו PowerShell וכלי עזר לניהול מרחוק", אומר Neray.
