โดยทั่วไปจะเริ่มต้นด้วยมัลแวร์ในการโฆษณาและจบลงด้วยการติดตั้ง Royal ransomware แต่กลุ่มภัยคุกคามใหม่ได้สร้างความโดดเด่นให้กับตัวเองด้วยความสามารถในการคิดค้นขั้นตอนที่เป็นอันตรายในระหว่างนั้นเพื่อล่อลวงเป้าหมายใหม่
กลุ่มโจมตีทางไซเบอร์ซึ่งติดตามโดย Microsoft Security Threat Intelligence ในชื่อ DEV-0569 มีความโดดเด่นในด้านความสามารถในการปรับปรุงการค้นพบอย่างต่อเนื่อง การหลบเลี่ยงการตรวจจับ และเพย์โหลดหลังการประนีประนอม ตามรายงานจากยักษ์ใหญ่ด้านคอมพิวเตอร์ในสัปดาห์นี้
“DEV-0569 พึ่งพาได้อย่างน่าทึ่ง มัลแวร์โฆษณาลิงก์ฟิชชิ่งที่ชี้ไปยังตัวดาวน์โหลดมัลแวร์ที่สวมรอยเป็นผู้ติดตั้งซอฟต์แวร์หรืออัปเดตที่ฝังอยู่ในอีเมลสแปม หน้าฟอรัมปลอม และความคิดเห็นในบล็อก” นักวิจัยของ Microsoft กล่าว
ในเวลาเพียงไม่กี่เดือน ทีมงานของ Microsoft ได้สังเกตนวัตกรรมของกลุ่ม รวมถึงการซ่อนลิงก์ที่เป็นอันตรายในแบบฟอร์มการติดต่อขององค์กร การฝังโปรแกรมติดตั้งปลอมในเว็บไซต์ดาวน์โหลดและที่เก็บข้อมูลที่ถูกต้อง และใช้โฆษณา Google ในแคมเปญเพื่ออำพรางกิจกรรมที่เป็นอันตราย
“กิจกรรม DEV-0569 ใช้ไบนารีที่เซ็นชื่อและส่งมอบเพย์โหลดมัลแวร์ที่เข้ารหัส” ทีมงาน Microsoft กล่าวเสริม “กลุ่มนี้ยังทราบกันดีว่าอาศัยเทคนิคการหลบเลี่ยงการป้องกันเป็นอย่างมาก ยังคงใช้เครื่องมือโอเพ่นซอร์ส Nsudo เพื่อพยายามปิดใช้งานโซลูชันป้องกันไวรัสในแคมเปญล่าสุด”
ตำแหน่งความสำเร็จของกลุ่ม เดฟ-0569 เพื่อทำหน้าที่เป็นนายหน้าการเข้าถึงสำหรับการดำเนินการแรนซัมแวร์อื่นๆ Microsoft Security กล่าว
วิธีต่อสู้กับความเฉลียวฉลาดในการโจมตีทางไซเบอร์
นอกเหนือจากกลอุบายใหม่ๆ แล้ว Mike Parkin วิศวกรด้านเทคนิคอาวุโสของ Vulcan Cyber ชี้ให้เห็นว่ากลุ่มภัยคุกคามได้ทำการปรับเปลี่ยนตามกลยุทธ์การรณรงค์ของพวกเขาอย่างแท้จริง แต่มักจะอาศัยผู้ใช้ในการทำผิดพลาด ดังนั้นสำหรับการป้องกัน การศึกษาผู้ใช้คือกุญแจสำคัญ เขากล่าว
“การโจมตีแบบฟิชชิ่งและมัลแวร์โฆษณาที่รายงานที่นี่อาศัยการทำให้ผู้ใช้โต้ตอบกับเหยื่อล่อ” Parkin กล่าวกับ Dark Reading “ซึ่งหมายความว่าหากผู้ใช้ไม่โต้ตอบ ก็จะไม่มีการละเมิด”
เขากล่าวเสริมว่า “ทีมรักษาความปลอดภัยจำเป็นต้องนำหน้าการโจมตีและมัลแวร์ล่าสุดที่กำลังใช้งานอย่างแพร่หลาย แต่ยังมีองค์ประกอบของการศึกษาผู้ใช้และความตระหนักที่จำเป็นและจำเป็นเสมอ เพื่อเปลี่ยนชุมชนผู้ใช้จากชุมชนหลัก โจมตีพื้นผิวเป็นแนวป้องกันที่มั่นคง”
แน่นอนว่าการทำให้ผู้ใช้ไม่สามารถล่อลวงได้ดูเหมือนจะเป็นกลยุทธ์ที่มั่นคง แต่ Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของ Cerberus Sentinel บอกกับ Dark Reading ว่า “ทั้งไม่สมจริงและไม่ยุติธรรม” ที่คาดหวังให้ผู้ใช้ยังคงระแวดระวัง 100% เมื่อเผชิญกับสังคมที่น่าเชื่อมากขึ้นเรื่อยๆ วิศวกรรม เขาอธิบายว่าจำเป็นต้องใช้วิธีการรักษาความปลอดภัยแบบองค์รวมมากขึ้นแทน
“จากนั้นจึงตกเป็นหน้าที่ของทีมเทคนิคและความปลอดภัยทางไซเบอร์ในองค์กรเพื่อให้แน่ใจว่าการประนีประนอมของผู้ใช้คนเดียวจะไม่นำไปสู่ความเสียหายในองค์กรในวงกว้างจากเป้าหมายของอาชญากรไซเบอร์ที่พบบ่อยที่สุด นั่นคือการขโมยข้อมูลจำนวนมากและแรนซัมแวร์” Clements กล่าว
เรื่องการควบคุม IAM
Robert Hughes, CISO ที่ RSA แนะนำให้เริ่มต้นด้วยการควบคุมข้อมูลประจำตัวและการจัดการการเข้าถึง (IAM)
“การกำกับดูแลข้อมูลประจำตัวและการเข้าถึงที่แข็งแกร่งสามารถช่วยควบคุมการแพร่กระจายของมัลแวร์และจำกัดผลกระทบ แม้ว่าจะเกิดความล้มเหลวในระดับการป้องกันมัลแวร์ของมนุษย์และปลายทาง เช่น การหยุดบุคคลที่ได้รับอนุญาตไม่ให้คลิกลิงก์และติดตั้งซอฟต์แวร์ที่ได้รับอนุญาต ติดตั้ง” Hughes บอก Dark Reading “เมื่อคุณมั่นใจว่าข้อมูลและตัวตนของคุณปลอดภัยแล้ว ผลที่ตามมาของการโจมตีของแรนซัมแวร์จะไม่สร้างความเสียหายมากนัก — และจะไม่มีความพยายามมากเท่ากับการสร้างอิมเมจของเอ็นด์พอยต์ใหม่”
Phil Neray จาก CardinalOps เห็นด้วย เขาอธิบายว่ากลวิธีเช่น Google Ads ที่เป็นอันตรายนั้นยากที่จะป้องกัน ดังนั้นทีมรักษาความปลอดภัยจึงต้องมุ่งเน้นไปที่การลดผลกระทบให้เหลือน้อยที่สุดเมื่อเกิดการโจมตีด้วยแรนซัมแวร์
“นั่นหมายถึงการทำให้แน่ใจว่า SoC มีการตรวจจับพฤติกรรมที่น่าสงสัยหรือไม่ได้รับอนุญาต เช่น การยกระดับสิทธิพิเศษและการใช้ เครื่องมือการดูแลระบบนอกสถานที่ เช่น PowerShell และยูทิลิตีการจัดการระยะไกล” Neray กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
