DEV-0569 Группа программ-вымогателей удивительно инновационна, Microsoft предостерегает

Обычно все начинается с вредоносной рекламы и заканчивается развертыванием программы-вымогателя Royal, но новая группа угроз отличилась своей способностью вводить новшества в промежуточные действия злоумышленников, чтобы заманивать новые цели.

Группа кибератак, отслеживаемая Microsoft Security Threat Intelligence как DEV-0569, известна своей способностью постоянно улучшать свои полезные нагрузки для обнаружения, уклонения от обнаружения и посткомпрометации, согласно отчету, опубликованному на этой неделе компьютерным гигантом.

«DEV-0569 в значительной степени зависит от вредоносный, фишинговые ссылки, которые указывают на загрузчик вредоносного ПО, выдающий себя за установщики программного обеспечения или обновления, встроенные в спам-сообщения, поддельные страницы форума и комментарии в блогах», — заявили исследователи Microsoft.

Всего за несколько месяцев команда Microsoft наблюдала за нововведениями группы, включая скрытие вредоносных ссылок в контактных формах организаций; закапывание поддельных установщиков на законных сайтах загрузки и в репозиториях; и использование рекламы Google в своих кампаниях для маскировки своих вредоносных действий.

«Деятельность DEV-0569 использует подписанные двоичные файлы и доставляет зашифрованные полезные нагрузки вредоносных программ», — добавила команда Microsoft. «Группа, также известная тем, что в значительной степени полагается на методы уклонения от защиты, продолжала использовать инструмент с открытым исходным кодом Nsudo, чтобы попытаться отключить антивирусные решения в недавних кампаниях».

Позиции успеха группы DEV-0569 По словам Microsoft Security, он будет выступать в качестве брокера доступа для других операций с программами-вымогателями.

Как бороться с изобретательностью кибератак

Помимо новых трюков, Майк Паркин, старший технический инженер Vulcan Cyber, указывает, что группа угроз действительно вносит коррективы в тактику своей кампании, но постоянно полагается на ошибки пользователей. Таким образом, для обороны ключевое значение имеет обучение пользователей, говорит он.

«Описанные здесь фишинговые и вредоносные атаки полностью основаны на том, чтобы заставить пользователей взаимодействовать с приманкой», — говорит Паркин Dark Reading. «Это означает, что если пользователь не взаимодействует, нарушения нет».

Он добавляет: «Группы безопасности должны опережать новейшие эксплойты и вредоносные программы, развертываемые в дикой природе, но все еще существует элемент обучения и осведомленности пользователей, который требуется и всегда будет требоваться, чтобы отвлечь сообщество пользователей от основного поверхность атаки в сплошную линию обороны».

Сделать пользователей невосприимчивыми к приманкам, безусловно, звучит как надежная стратегия, но Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel, говорит Dark Reading, что «нереалистично и несправедливо» ожидать, что пользователи сохранят 100% бдительность перед лицом все более убедительных социальных сетей. инженерные уловки. Вместо этого требуется более целостный подход к безопасности, объясняет он.

«Тогда задача технических специалистов и специалистов по кибербезопасности в организации состоит в том, чтобы гарантировать, что компрометация одного пользователя не приведет к широкомасштабному ущербу для организации из-за наиболее распространенных целей киберпреступников, таких как массовая кража данных и программы-вымогатели», — говорит Клементс.

IAM контролирует значение

Роберт Хьюз, директор по информационной безопасности в RSA, рекомендует начать с элементов управления идентификацией и доступом (IAM).

«Надежное управление идентификацией и доступом может помочь контролировать горизонтальное распространение вредоносного ПО и ограничить его воздействие даже после сбоя на уровне предотвращения вредоносного ПО для человека и конечной точки, например, запретить авторизованному лицу переход по ссылке и установку программного обеспечения, которое им разрешено. установить», — рассказывает Хьюз Dark Reading. «После того, как вы убедитесь, что ваши данные и удостоверения в безопасности, последствия атаки программы-вымогателя не будут такими разрушительными — и вам не потребуется столько усилий, чтобы перерисовать конечную точку».

Фил Нерей из CardinalOps соглашается. Он объясняет, что от такой тактики, как вредоносная реклама Google Ads, сложно защититься, поэтому службы безопасности также должны сосредоточиться на минимизации последствий после атаки программы-вымогателя.

«Это означает, что в SoC есть средства обнаружения подозрительного или несанкционированного поведения, такие как повышение привилегий и использование инструменты администрирования, живущие за пределами земли таких как PowerShell и утилиты удаленного управления», — говорит Нерай.