Det starter vanligvis med malvertising og slutter med distribusjon av Royal ransomware, men en ny trusselgruppe har utmerket seg ved sin evne til å innovere de ondsinnede trinnene i mellom for å lokke inn nye mål.
Nettangrepsgruppen, sporet av Microsoft Security Threat Intelligence som DEV-0569, er kjent for sin evne til kontinuerlig å forbedre sin oppdagelse, oppdagelsesunndragelse og nyttelast etter kompromiss, ifølge en rapport denne uken fra datagiganten.
"DEV-0569 er spesielt avhengig av malvertisering, phishing-lenker som peker til en malware-nedlaster som utgir seg for å installere programvare eller oppdateringer innebygd i spam-e-poster, falske forumsider og bloggkommentarer», sa Microsoft-forskerne.
På bare noen få måneder observerte Microsoft-teamet gruppens innovasjoner, inkludert å skjule ondsinnede lenker på organisasjoners kontaktskjemaer; begrave falske installatører på legitime nedlastingssider og arkiver; og bruker Google-annonser i sine kampanjer for å kamuflere sine ondsinnede aktiviteter.
"DEV-0569-aktivitet bruker signerte binærfiler og leverer krypterte skadevarenyttelaster," la Microsoft-teamet til. "Gruppen, også kjent for å stole sterkt på forsvarsunndragelsesteknikker, har fortsatt å bruke åpen kildekode-verktøyet Nsudo for å forsøke å deaktivere antivirusløsninger i de siste kampanjene."
Gruppens suksessposisjoner DEV-0569 å tjene som tilgangsmegler for andre løsepengevareoperasjoner, sa Microsoft Security.
Hvordan bekjempe cyberangrepsoppfinnsomhet
Nye triks til side, Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, påpeker at trusselgruppen faktisk gjør justeringer langs kantene av kampanjetaktikkene sine, men er konsekvent avhengig av at brukerne gjør feil. For forsvaret er altså brukerutdanning nøkkelen, sier han.
"Phishing- og malvertising-angrepene som er rapportert her er utelukkende avhengige av å få brukere til å samhandle med lokket," sier Parkin til Dark Reading. "Som betyr at hvis brukeren ikke samhandler, er det ingen brudd."
Han legger til, "Sikkerhetsteam må ligge i forkant av de siste utnyttelsene og skadevare som blir distribuert i naturen, men det er fortsatt et element av brukeropplæring og bevissthet som kreves, og alltid vil være nødvendig, for å snu brukerfellesskapet fra det viktigste. angrepsoverflaten inn i en solid forsvarslinje."
Å gjøre brukere ugjennomtrengelige for lokker høres absolutt ut som en solid strategi, men Chris Clements, visepresident for løsningsarkitektur ved Cerberus Sentinel, sier til Dark Reading at det er «både urealistisk og urettferdig» å forvente at brukere skal opprettholde 100 % årvåkenhet i møte med stadig mer overbevisende sosiale medier. tekniske knep. I stedet kreves det en mer helhetlig tilnærming til sikkerhet, forklarer han.
"Det er da opp til de tekniske teamene og cybersikkerhetsteamene i en organisasjon å sikre at et kompromiss fra en enkelt bruker ikke fører til omfattende organisatorisk skade fra de vanligste nettkriminelle målene for massedatatyveri og løsepengeprogramvare," sier Clements.
IAM-kontroller betyr noe
Robert Hughes, CISO ved RSA, anbefaler å starte med kontroller for identitets- og tilgangsadministrasjon (IAM).
"Sterk identitets- og tilgangsstyring kan bidra til å kontrollere den laterale spredningen av skadelig programvare og begrense dens virkning, selv etter en svikt på nivået for forebygging av skadevare for mennesker og endepunkt, for eksempel å stoppe autoriserte personer fra å klikke på en lenke og installere programvare som de har lov til å installer», forteller Hughes til Dark Reading. "Når du har forsikret deg om at dataene og identitetene dine er trygge, vil utfallet av et løsepengevareangrep ikke være like skadelig - og det vil ikke være like mye anstrengelse å gjenskape et endepunkt."
Phil Neray fra CardinalOps er enig. Han forklarer at taktikk som ondsinnet Google Ads er vanskelig å forsvare seg mot, så sikkerhetsteam må også fokusere på å minimere nedfall når et løsepengevareangrep inntreffer.
"Det betyr å sørge for at SoC har deteksjoner på plass for mistenkelig eller uautorisert oppførsel, for eksempel privilegieeskalering og bruk av living-off-the-land administrasjonsverktøy som PowerShell og fjernadministrasjonsverktøy, sier Neray.
