Het begint meestal met malvertising en eindigt met de inzet van Royal ransomware, maar een nieuwe dreigingsgroep onderscheidt zich door zijn vermogen om de kwaadaardige tussenstappen te innoveren om nieuwe doelen te lokken.
De cyberaanvalgroep, gevolgd door Microsoft Security Threat Intelligence als DEV-0569, valt op door zijn vermogen om zijn ontdekking, detectie-ontwijking en post-compromis-payloads continu te verbeteren, volgens een rapport van de computergigant deze week.
“DEV-0569 vertrouwt met name op malvertising, phishing-links die verwijzen naar een malware-downloader die zich voordoet als software-installatieprogramma's of updates die zijn ingesloten in spam-e-mails, valse forumpagina's en blogcommentaar', aldus de Microsoft-onderzoekers.
In slechts een paar maanden tijd observeerde het Microsoft-team de innovaties van de groep, waaronder het verbergen van kwaadaardige links op de contactformulieren van organisaties; het begraven van valse installatieprogramma's op legitieme downloadsites en repositories; en het gebruik van Google-advertenties in zijn campagnes om zijn kwaadaardige activiteiten te camoufleren.
"DEV-0569-activiteit maakt gebruik van ondertekende binaire bestanden en levert gecodeerde malware-payloads", voegde het Microsoft-team eraan toe. "De groep, waarvan ook bekend is dat ze sterk leunt op verdedigingsontwijkingstechnieken, is de open-sourcetool Nsudo blijven gebruiken om te proberen antivirusoplossingen uit te schakelen in recente campagnes."
De succesposities van de groep DEV-0569 om te dienen als toegangsmakelaar voor andere ransomware-operaties, zei Microsoft Security.
Hoe vindingrijkheid tegen cyberaanvallen te bestrijden
Afgezien van nieuwe trucs, wijst Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, erop dat de dreigingsgroep inderdaad aanpassingen maakt langs de randen van hun campagnetactiek, maar consequent vertrouwt op gebruikers om fouten te maken. Dus voor defensie is gebruikerseducatie de sleutel, zegt hij.
"De phishing- en malvertising-aanvallen die hier worden gerapporteerd, zijn volledig afhankelijk van het feit dat gebruikers interactie hebben met het lokaas", vertelt Parkin aan Dark Reading. "Wat betekent dat als de gebruiker geen interactie heeft, er geen inbreuk is."
Hij voegt eraan toe: “Beveiligingsteams moeten de nieuwste exploits en malware die in het wild wordt ingezet, een stap voor blijven, maar er is nog steeds een element van gebruikerseducatie en -bewustzijn vereist en zal altijd vereist zijn om de gebruikersgemeenschap van de belangrijkste aanvalsoppervlak in een solide verdedigingslinie.
Gebruikers ongevoelig maken voor kunstaas klinkt zeker als een solide strategie, maar Chris Clements, vice-president van oplossingsarchitectuur bij Cerberus Sentinel, zegt tegen Dark Reading dat het "zowel onrealistisch als oneerlijk" is om van gebruikers te verwachten dat ze 100% waakzaam blijven in het licht van steeds overtuigender wordende sociale netwerken. technische trucs. In plaats daarvan is een meer holistische benadering van beveiliging vereist, legt hij uit.
"Het is dan aan de technische en cyberbeveiligingsteams van een organisatie om ervoor te zorgen dat een aanval van een enkele gebruiker niet leidt tot wijdverspreide organisatorische schade door de meest voorkomende cybercriminele doelen van massale gegevensdiefstal en ransomware", zegt Clements.
IAM-controles zijn belangrijk
Robert Hughes, CISO bij RSA, raadt aan te beginnen met controles voor identiteits- en toegangsbeheer (IAM).
“Sterk identiteits- en toegangsbeheer kan helpen de laterale verspreiding van malware te beheersen en de impact ervan te beperken, zelfs na een storing op het niveau van malwarepreventie bij mens en eindpunt, zoals voorkomen dat geautoriseerde personen op een link klikken en software installeren die ze mogen installeren”, vertelt Hughes aan Dark Reading. "Als je er eenmaal voor hebt gezorgd dat je gegevens en identiteiten veilig zijn, zullen de gevolgen van een ransomware-aanval niet zo schadelijk zijn - en zal het minder moeite kosten om een endpoint opnieuw in beeld te brengen."
Phil Neray van CardinalOps is het daarmee eens. Hij legt uit dat tactieken zoals kwaadaardige Google Ads moeilijk te verdedigen zijn, dus beveiligingsteams moeten zich ook richten op het minimaliseren van de gevolgen zodra er een ransomware-aanval plaatsvindt.
“Dat betekent ervoor zorgen dat de SoC detecties heeft voor verdacht of ongeoorloofd gedrag, zoals escalatie van bevoegdheden en het gebruik van living-off-the-land beheertools zoals PowerShell en hulpprogramma's voor beheer op afstand", zegt Neray.
