Grupul DEV-0569 Ransomware Remarcabil de inovator, Microsoft avertizează

În general, începe cu malvertising și se termină cu implementarea ransomware-ului Royal, dar un nou grup de amenințări s-a remarcat prin capacitatea sa de a inova pașii rău intenționați intermediari pentru a atrage noi ținte.

Grupul de atac cibernetic, urmărit de Microsoft Security Threat Intelligence ca DEV-0569, se remarcă prin capacitatea sa de a-și îmbunătăți continuu descoperirea, evitarea detectării și încărcăturile utile post-compromis, potrivit unui raport din această săptămână al gigantului informatic.

„DEV-0569 se bazează în special pe malvertising, link-uri de phishing care indică un program de descărcare de malware care se prezintă ca instalatori de software sau actualizări încorporate în e-mailuri spam, pagini de forum false și comentarii de blog”, au spus cercetătorii Microsoft.

În doar câteva luni, echipa Microsoft a observat inovațiile grupului, inclusiv ascunderea legăturilor rău intenționate pe formularele de contact ale organizațiilor; îngroparea instalatorilor falși pe site-uri și depozite de descărcare legitime; și utilizarea reclamelor Google în campaniile sale pentru a-și camufla activitățile rău intenționate.

„Activitatea DEV-0569 folosește binare semnate și furnizează încărcături utile de malware criptate”, a adăugat echipa Microsoft. „Grupul, cunoscut și că se bazează foarte mult pe tehnicile de evaziune a apărării, a continuat să folosească instrumentul open-source Nsudo pentru a încerca să dezactiveze soluțiile antivirus în campaniile recente.”

Pozițiile de succes ale grupului DEV-0569 pentru a servi drept broker de acces pentru alte operațiuni ransomware, a spus Microsoft Security.

Cum să lupți împotriva ingeniozității atacurilor cibernetice

Lăsând la o parte noile trucuri, Mike Parkin, inginer tehnic senior la Vulcan Cyber, subliniază că grupul de amenințări face într-adevăr ajustări de-a lungul marginilor tacticilor de campanie, dar se bazează în mod constant pe utilizatori pentru a face greșeli. Astfel, pentru apărare, educația utilizatorilor este cheia, spune el.

„Atacurile de phishing și malvertising raportate aici se bazează în întregime pe determinarea utilizatorilor să interacționeze cu naluca”, spune Parkin pentru Dark Reading. „Ceea ce înseamnă că, dacă utilizatorul nu interacționează, nu există nicio încălcare.”

El adaugă: „Echipele de securitate trebuie să rămână în fața celor mai recente exploit-uri și programe malware care sunt implementate în sălbăticie, dar există încă un element de educare și conștientizare a utilizatorilor care este necesar și va fi întotdeauna necesar, pentru a transforma comunitatea de utilizatori din partea principală. suprafața de atac într-o linie solidă de apărare.”

A face utilizatorii insensibili la momeli pare cu siguranță o strategie solidă, dar Chris Clements, vicepreședinte al arhitecturii de soluții la Cerberus Sentinel, spune lui Dark Reading că este „și nerealist și nedrept” să se aștepte ca utilizatorii să mențină vigilență 100% în fața unei rețele sociale din ce în ce mai convingătoare. trucuri de inginerie. În schimb, este necesară o abordare mai holistică a securității, explică el.

„Atunci, echipele tehnice și de securitate cibernetică ale unei organizații trebuie să se asigure că un compromis al unui singur utilizator nu duce la daune organizaționale larg răspândite din cele mai comune obiective cibercriminale de furt de date în masă și ransomware”, spune Clements.

IAM controlează chestia

Robert Hughes, CISO la RSA, recomandă să începeți cu controale de gestionare a identității și accesului (IAM).

„Guvernarea puternică a identității și a accesului poate ajuta la controlul răspândirii laterale a malware-ului și la limitarea impactului acestuia, chiar și după un eșec la nivel uman și de prevenire a malware-ului terminal, cum ar fi oprirea persoanelor autorizate de a face clic pe un link și instalarea de software pe care le este permisă. instalați”, spune Hughes pentru Dark Reading. „Odată ce v-ați asigurat că datele și identitățile dumneavoastră sunt în siguranță, consecințele unui atac ransomware nu vor fi la fel de dăunătoare – și nu va fi un efort atât de mare pentru a reimagina un punct final.”

Phil Neray de la CardinalOps este de acord. El explică că tacticile precum Google Ads rău intenționat sunt greu de apărat, așa că echipele de securitate trebuie, de asemenea, să se concentreze pe reducerea la minimum a consecințelor odată ce are loc un atac ransomware.

„Asta înseamnă să vă asigurați că SoC-ul are detectări pentru comportamente suspecte sau neautorizate, cum ar fi escaladarea privilegiilor și utilizarea instrumente de administrare care trăiesc în afara terenului precum PowerShell și utilitățile de gestionare la distanță”, spune Neray.