Det börjar i allmänhet med malvertising och slutar med distributionen av Royal ransomware, men en ny hotgrupp har utmärkt sig genom sin förmåga att förnya de skadliga stegen däremellan för att locka in nya mål.
Cyberattackgruppen, spårad av Microsoft Security Threat Intelligence som DEV-0569, är känd för sin förmåga att kontinuerligt förbättra sin upptäckt, upptäcktsflykt och nyttolaster efter kompromiss, enligt en rapport denna vecka från datorjätten.
"DEV-0569 förlitar sig särskilt på skadliga annonser, nätfiske-länkar som pekar på en nedladdare av skadlig programvara som utger sig som programvaruinstallatörer eller uppdateringar inbäddade i spam-e-postmeddelanden, falska forumsidor och bloggkommentarer”, sa Microsofts forskare.
På bara några månader observerade Microsoft-teamet gruppens innovationer, inklusive att dölja skadliga länkar på organisationers kontaktformulär; begrava falska installatörer på legitima nedladdningssidor och arkiv; och använder Google-annonser i sina kampanjer för att kamouflera dess skadliga aktiviteter.
"DEV-0569-aktivitet använder signerade binärer och levererar krypterade skadliga nyttolaster," tillade Microsoft-teamet. "Gruppen, som också är känd för att förlita sig starkt på tekniker för försvarsflykt, har fortsatt att använda open source-verktyget Nsudo för att försöka inaktivera antiviruslösningar i de senaste kampanjerna."
Gruppens framgångspositioner DEV-0569 att fungera som en åtkomstmäklare för andra ransomware-operationer, sa Microsoft Security.
Hur man bekämpar cyberattacks uppfinningsrikedom
Bortsett från nya trick, Mike Parkin, senior teknisk ingenjör på Vulcan Cyber, påpekar att hotgruppen verkligen gör justeringar längs kanterna av sin kampanjtaktik, men förlitar sig konsekvent på att användarna gör misstag. För försvaret är alltså användarutbildning nyckeln, säger han.
"De nätfiske- och malvertisingsattacker som rapporteras här bygger helt på att få användare att interagera med lockbetet", säger Parkin till Dark Reading. "Vilket betyder att om användaren inte interagerar, finns det inget brott."
Han tillägger, "Säkerhetsteam måste ligga steget före de senaste utnyttjandena och skadlig programvara som distribueras i det vilda, men det finns fortfarande ett element av användarutbildning och medvetenhet som krävs, och kommer alltid att krävas, för att vända användargemenskapen från det huvudsakliga anfallsytan till en solid försvarslinje."
Att göra användare ogenomträngliga för lockbeten låter verkligen som en solid strategi, men Chris Clements, vice VD för lösningsarkitektur på Cerberus Sentinel, säger till Dark Reading att det är "både orealistiskt och orättvist" att förvänta sig att användare ska hålla 100 % vaksamhet inför allt mer övertygande sociala medier. ingenjörsknep. Istället krävs ett mer holistiskt förhållningssätt till säkerhet, förklarar han.
"Det faller sedan på de tekniska och cybersäkerhetsteamen i en organisation att säkerställa att en kompromiss mellan en enskild användare inte leder till omfattande organisatoriska skador från de vanligaste cyberkriminella målen med massdatastöld och ransomware", säger Clements.
IAM-kontroller är viktiga
Robert Hughes, CISO på RSA, rekommenderar att man börjar med kontroller för identitets- och åtkomsthantering (IAM).
"En stark identitets- och åtkomststyrning kan hjälpa till att kontrollera den laterala spridningen av skadlig programvara och begränsa dess påverkan, även efter ett fel på mänsklig och slutpunktsnivå för att förebygga skadlig programvara, som att hindra en auktoriserad person från att klicka på en länk och installera programvara som de har rätt att installera, säger Hughes till Dark Reading. "När du har försäkrat dig om att dina data och identiteter är säkra, kommer nedfallet av en ransomware-attack inte att vara lika skadligt - och det kommer inte att vara lika mycket av en ansträngning att återbilda en slutpunkt."
Phil Neray från CardinalOps håller med. Han förklarar att taktik som skadliga Google Ads är svåra att försvara sig mot, så säkerhetsteam måste också fokusera på att minimera nedfallet när en ransomware-attack inträffar.
"Det innebär att se till att SoC har upptäckter på plats för misstänkt eller obehörigt beteende, såsom privilegieskalering och användning av living-off-the-land adminverktyg som PowerShell och fjärrhanteringsverktyg, säger Neray.
