Geralmente começa com publicidade maliciosa e termina com a implantação do ransomware Royal, mas um novo grupo de ameaças se destacou por sua capacidade de inovar as etapas maliciosas intermediárias para atrair novos alvos.
O grupo de ataque cibernético, rastreado pela Microsoft Security Threat Intelligence como DEV-0569, é notável por sua capacidade de melhorar continuamente sua descoberta, evasão de detecção e cargas úteis pós-compromisso, de acordo com um relatório desta semana da gigante da computação.
“O DEV-0569 depende notavelmente publicidade maliciosa, links de phishing que apontam para um downloader de malware se passando por instaladores de software ou atualizações incorporadas em e-mails de spam, páginas de fórum falsas e comentários de blog”, disseram os pesquisadores da Microsoft.
Em apenas alguns meses, a equipe da Microsoft observou as inovações do grupo, incluindo a ocultação de links maliciosos nos formulários de contato das organizações; enterrar instaladores falsos em sites de download e repositórios legítimos; e usando anúncios do Google em suas campanhas para camuflar suas atividades maliciosas.
“A atividade DEV-0569 usa binários assinados e entrega cargas de malware criptografadas”, acrescentou a equipe da Microsoft. “O grupo, também conhecido por depender fortemente de técnicas de evasão de defesa, continuou a usar a ferramenta de código aberto Nsudo para tentar desabilitar soluções antivírus em campanhas recentes.”
As posições de sucesso do grupo DEV-0569 para servir como um agente de acesso para outras operações de ransomware, disse a Microsoft Security.
Como combater a engenhosidade do ataque cibernético
Novos truques à parte, Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, aponta que o grupo de ameaças realmente faz ajustes nas bordas de suas táticas de campanha, mas sempre confia nos usuários para cometer erros. Assim, para a defesa, a educação do usuário é a chave, diz ele.
“Os ataques de phishing e malvertising relatados aqui dependem inteiramente de fazer com que os usuários interajam com a isca”, disse Parkin ao Dark Reading. “O que significa que, se o usuário não interagir, não há violação.”
Ele acrescenta: “As equipes de segurança precisam ficar à frente das mais recentes explorações e malwares implantados, mas ainda há um elemento de educação e conscientização do usuário que é necessário, e sempre será necessário, para transformar a comunidade de usuários do principal superfície de ataque em uma sólida linha de defesa.”
Tornar os usuários insensíveis a iscas certamente parece uma estratégia sólida, mas Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel, diz a Dark Reading que é “irrealista e injusto” esperar que os usuários mantenham 100% de vigilância diante de ameaças sociais cada vez mais convincentes. manobras de engenharia. Em vez disso, é necessária uma abordagem mais holística da segurança, explica ele.
“Cabe então às equipes técnicas e de segurança cibernética de uma organização garantir que o comprometimento de um único usuário não leve a danos organizacionais generalizados dos objetivos cibercriminosos mais comuns de roubo de dados em massa e ransomware”, diz Clements.
Matéria de controles IAM
Robert Hughes, CISO da RSA, recomenda começar com os controles de gerenciamento de identidade e acesso (IAM).
“Uma forte governança de identidade e acesso pode ajudar a controlar a disseminação lateral de malware e limitar seu impacto, mesmo após uma falha no nível de prevenção de malware humano e terminal, como impedir que indivíduos autorizados cliquem em um link e instalem software que eles têm permissão para usar. instalar”, disse Hughes a Dark Reading. “Depois de garantir que seus dados e identidades estejam seguros, as consequências de um ataque de ransomware não serão tão prejudiciais – e não será um grande esforço refazer a imagem de um endpoint.”
Phil Neray, da CardinalOps, concorda. Ele explica que táticas como anúncios maliciosos do Google são difíceis de defender, então as equipes de segurança também devem se concentrar em minimizar as consequências quando ocorrer um ataque de ransomware.
“Isso significa garantir que o SoC tenha detecções para comportamento suspeito ou não autorizado, como escalonamento de privilégios e uso de ferramentas de administração de vida fora da terra como PowerShell e utilitários de gerenciamento remoto”, diz Neray.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
