Običajno se začne z zlonamernim oglaševanjem in konča z uvedbo kraljeve izsiljevalske programske opreme, vendar se nova skupina groženj odlikuje po svoji zmožnosti inoviranja zlonamernih korakov vmes, da bi privabila nove tarče.
Skupina kibernetskih napadov, ki ji Microsoft Security Threat Intelligence sledi kot DEV-0569, je znana po svoji zmožnosti nenehnega izboljševanja odkrivanja, izogibanja zaznavanju in pokompromitiranih koristnih obremenitev, glede na poročilo tega tedna iz računalniškega velikana.
»DEV-0569 se predvsem opira na zloraba, povezave do lažnega predstavljanja, ki kažejo na nalagalnik zlonamerne programske opreme, ki se predstavlja kot namestitvene programe ali posodobitve programske opreme, vdelane v neželeno e-pošto, lažne strani forumov in komentarje v blogih,« so povedali Microsoftovi raziskovalci.
V samo nekaj mesecih je Microsoftova ekipa opazila novosti skupine, vključno s skrivanjem zlonamernih povezav na kontaktnih obrazcih organizacij; zakopavanje lažnih namestitvenih programov na zakonita spletna mesta in skladišča za prenos; in uporabo Googlovih oglasov v svojih kampanjah za prikrivanje svojih zlonamernih dejavnosti.
»Dejavnost DEV-0569 uporablja podpisane binarne datoteke in zagotavlja šifrirano obremenitev zlonamerne programske opreme,« je dodala ekipa Microsofta. "Skupina, za katero je znano tudi, da se močno zanaša na tehnike izogibanja obrambi, je še naprej uporabljala odprtokodno orodje Nsudo za poskus onemogočanja protivirusnih rešitev v zadnjih kampanjah."
Uspešni položaji skupine DEV-0569 služiti kot posrednik dostopa za druge operacije izsiljevalske programske opreme, je dejal Microsoft Security.
Kako se boriti proti iznajdljivosti kibernetskega napada
Če ne upoštevamo novih trikov, Mike Parkin, višji tehnični inženir pri Vulcan Cyber, poudarja, da skupina groženj res prilagaja svoje taktike kampanj, vendar se dosledno zanaša na napake uporabnikov. Tako je za obrambo ključno izobraževanje uporabnikov, pravi.
»Napadi lažnega predstavljanja in zlonamernega oglaševanja, o katerih poročamo tukaj, so v celoti odvisni od tega, da uporabnike pripravimo do interakcije z vabo,« pravi Parkin za Dark Reading. "Kar pomeni, da če uporabnik ne komunicira, ni kršitve."
Dodaja: »Varnostne ekipe morajo biti v koraku z najnovejšimi izkoriščanji in zlonamerno programsko opremo, ki se uporablja v divjini, vendar še vedno obstaja element izobraževanja in ozaveščenosti uporabnikov, ki je potreben in bo vedno potreben, da se skupnost uporabnikov odvrne od glavne napadalno površino v trdno obrambno črto.”
Narediti uporabnike neprepustne za vabe se vsekakor sliši kot dobra strategija, vendar Chris Clements, podpredsednik arhitekture rešitev pri Cerberus Sentinel, pravi Dark Readingu, da je "nerealno in nepošteno" pričakovati, da bodo uporabniki ohranili 100-odstotno pazljivost ob vedno bolj prepričljivih družbenih inženirske zvijače. Namesto tega je potreben bolj celosten pristop k varnosti, pojasnjuje.
»Tehnične ekipe in ekipe za kibernetsko varnost v organizaciji morajo zagotoviti, da kompromis enega samega uporabnika ne povzroči obsežne organizacijske škode zaradi najpogostejših ciljev kibernetskega kriminala kraje množičnih podatkov in izsiljevalske programske opreme,« pravi Clements.
IAM nadzoruje zadevo
Robert Hughes, CISO pri RSA, priporoča, da začnete s kontrolami upravljanja identitete in dostopa (IAM).
»Močno upravljanje identitete in dostopa lahko pomaga nadzorovati stransko širjenje zlonamerne programske opreme in omejiti njen vpliv, tudi po napaki na ravni preprečevanja zlonamerne programske opreme na ravni človeka in končne točke, kot je preprečitev pooblaščenim posameznikom, da kliknejo povezavo in namestijo programsko opremo, ki jim je dovoljena. namestite,« pove Hughes za Dark Reading. "Ko zagotovite, da so vaši podatki in identitete varni, posledice napada z izsiljevalsko programsko opremo ne bodo tako škodljive - in ne bo toliko truda, da bi ponovno prikazali končno točko."
Phil Neray iz CardinalOps se strinja. Pojasnjuje, da se je pred taktikami, kot je zlonamerni Google Ads, težko braniti, zato se morajo varnostne ekipe osredotočiti tudi na zmanjšanje posledic, ko pride do napada z izsiljevalsko programsko opremo.
»To pomeni zagotoviti, da ima SoC zaznavanje sumljivega ali nepooblaščenega vedenja, kot je stopnjevanje privilegijev in uporaba skrbniška orodja za življenje zunaj zemlje kot so PowerShell in pripomočki za daljinsko upravljanje,« pravi Neray.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
