DEV-0569 Ransomware Group Niezwykle innowacyjna, Microsoft przestrogi

Na ogół zaczyna się od złośliwej reklamy, a kończy na wdrożeniu ransomware Royal, ale nowa grupa zagrożeń wyróżnia się zdolnością do wprowadzania innowacji w złośliwych krokach pomiędzy nimi, aby zwabić nowe cele.

Grupa cyberataków, śledzona przez Microsoft Security Threat Intelligence jako DEV-0569, wyróżnia się zdolnością do ciągłego ulepszania wykrywania, unikania wykrycia i ładunków post-kompromitacyjnych, wynika z raportu giganta komputerowego z tego tygodnia.

„DEV-0569 w szczególności polega na malvertising, linki phishingowe, które wskazują na program do pobierania złośliwego oprogramowania podszywający się pod instalatory oprogramowania lub aktualizacje osadzone w spamowych wiadomościach e-mail, fałszywych stronach forów i komentarzach na blogach” – stwierdzili badacze z firmy Microsoft.

W ciągu zaledwie kilku miesięcy zespół Microsoftu zaobserwował innowacje grupy, w tym ukrywanie złośliwych odsyłaczy w formularzach kontaktowych organizacji; zakopywanie fałszywych instalatorów na legalnych stronach pobierania i repozytoriach; oraz wykorzystywanie reklam Google w swoich kampaniach do kamuflowania złośliwych działań.

„Aktywność DEV-0569 wykorzystuje podpisane pliki binarne i dostarcza zaszyfrowane ładunki szkodliwego oprogramowania” — dodał zespół Microsoftu. „Grupa, znana również z tego, że w dużym stopniu polega na technikach unikania obrony, nadal używała narzędzia Nsudo o otwartym kodzie źródłowym do prób wyłączania rozwiązań antywirusowych w ostatnich kampaniach”.

Pozycje sukcesu grupy DEV-0569 aby służyć jako broker dostępu dla innych operacji ransomware, powiedział Microsoft Security.

Jak zwalczać pomysłowość cyberataków

Pomijając nowe sztuczki, Mike Parkin, starszy inżynier techniczny w Vulcan Cyber, zwraca uwagę, że grupa zajmująca się zagrożeniami rzeczywiście wprowadza korekty na obrzeżach swojej taktyki kampanii, ale konsekwentnie polega na popełnianiu błędów przez użytkowników. Dlatego dla obrony kluczem jest edukacja użytkowników, mówi.

„Zgłoszone tutaj ataki typu phishing i złośliwe reklamy polegają wyłącznie na nakłonieniu użytkowników do interakcji z przynętą” – mówi Parkin Dark Reading. „Co oznacza, że ​​jeśli użytkownik nie wchodzi w interakcję, nie ma naruszenia”.

Dodaje: „Zespoły ds. powierzchnię ataku na ciągłą linię obrony”.

Uodpornienie użytkowników na przynęty z pewnością brzmi jak solidna strategia, ale Chris Clements, wiceprezes ds. architektury rozwiązań w Cerberus Sentinel, mówi Dark Reading, że oczekiwanie od użytkowników zachowania 100% czujności w obliczu coraz bardziej przekonujących sztuczki inżynierskie. Wyjaśnia, że ​​zamiast tego wymagane jest bardziej całościowe podejście do bezpieczeństwa.

„Dlatego zadaniem zespołów technicznych i ds. cyberbezpieczeństwa w organizacji jest upewnienie się, że włamanie pojedynczego użytkownika nie doprowadzi do rozległych szkód organizacyjnych wynikających z najczęstszych celów cyberprzestępczości, takich jak masowa kradzież danych i oprogramowanie ransomware” — mówi Clements.

Kontrola IAM ma znaczenie

Robert Hughes, CISO w RSA, zaleca rozpoczęcie od kontroli zarządzania tożsamością i dostępem (IAM).

„Silne zarządzanie tożsamością i dostępem może pomóc kontrolować boczne rozprzestrzenianie się złośliwego oprogramowania i ograniczać jego wpływ, nawet po awarii na poziomie zapobiegania złośliwemu oprogramowaniu dla ludzi i punktów końcowych, takiej jak powstrzymanie upoważnionej osoby przed kliknięciem łącza i zainstalowaniem oprogramowania, do którego jest upoważniona. zainstalować”, mówi Hughes Dark Reading. „Gdy upewnisz się, że Twoje dane i tożsamość są bezpieczne, skutki ataku ransomware nie będą tak szkodliwe — a odtworzenie obrazu punktu końcowego nie będzie wymagało tak dużego wysiłku”.

Phil Neray z CardinalOps zgadza się. Wyjaśnia, że ​​taktyki takie jak złośliwe reklamy Google Ads są trudne do obrony, więc zespoły ds. bezpieczeństwa muszą również skupić się na minimalizowaniu skutków ataku ransomware.

„Oznacza to upewnienie się, że SoC wykrywa podejrzane lub nieautoryzowane zachowania, takie jak eskalacja uprawnień i korzystanie z narzędzia administracyjne do życia poza domem jak PowerShell i narzędzia do zdalnego zarządzania” — mówi Neray.