Зазвичай це починається зі зловмисної реклами та закінчується розгортанням програм-вимагачів Royal, але нова група загроз відзначилася своєю здатністю впроваджувати інноваційні зловмисні кроки між ними, щоб заманити нові цілі.
Згідно зі звітом обчислювального гіганта цього тижня, група кібератак, яку Microsoft Security Threat Intelligence відслідковує як DEV-0569, відома своєю здатністю постійно покращувати виявлення, ухилення від виявлення та корисне навантаження після зламання.
«DEV-0569 особливо покладається на маловія, фішингові посилання, які вказують на завантажувач зловмисного програмного забезпечення, який видає себе за інсталятори програмного забезпечення або оновлення, вбудовані в електронні листи зі спамом, фальшиві сторінки форуму та коментарі в блогах», — заявили дослідники Microsoft.
Лише за кілька місяців команда Microsoft спостерігала за нововведеннями групи, зокрема приховування шкідливих посилань у формах контактів організацій; ховати фальшиві інсталятори на законних сайтах і репозиторіях завантаження; і використання реклами Google у своїх кампаніях для маскування своєї зловмисної діяльності.
«Діяльність DEV-0569 використовує підписані двійкові файли та доставляє зашифроване шкідливе програмне забезпечення», — додала команда Microsoft. «Група, також відома тим, що значною мірою покладається на методи ухилення від захисту, продовжувала використовувати інструмент із відкритим кодом Nsudo, щоб намагатися відключити антивірусні рішення в останніх кампаніях».
Позиції успіху групи DEV-0569 слугувати посередником доступу для інших операцій з програмами-вимагачами, повідомляє Microsoft Security.
Як боротися з кібератаками
Крім нових хитрощів, Майк Паркін, старший технічний інженер Vulcan Cyber, зазначає, що група загроз справді вносить корективи в тактику своєї кампанії, але постійно покладається на помилки користувачів. Таким чином, для оборони навчання користувачів є ключовим, каже він.
«Фішингові та шкідливі атаки, про які тут повідомляється, повністю покладаються на те, щоб змусити користувачів взаємодіяти з приманкою», — розповідає Паркін Dark Reading. «Це означає, що якщо користувач не взаємодіє, порушення немає».
Він додає: «Команди безпеки повинні випереджати новітні експлойти та зловмисне програмне забезпечення, які розгортаються в дикій природі, але все ще є елемент освіти та обізнаності користувачів, який потрібен і завжди буде потрібний, щоб відвернути спільноту користувачів від основного поверхні атаки в суцільну лінію захисту».
Зробити користувачів непроникними для спокус, безумовно, звучить як надійна стратегія, але Кріс Клементс, віце-президент із архітектури рішень у Cerberus Sentinel, каже Dark Reading, що «і нереалістично, і несправедливо» очікувати, що користувачі зберігатимуть 100% пильність перед лицем дедалі переконливішої соціальної ситуації. інженерні хитрощі. Натомість потрібен більш цілісний підхід до безпеки, пояснює він.
«Технічній команді та командам кібербезпеки в організації належить переконатися, що компрометація одного користувача не призведе до масштабної організаційної шкоди від найпоширеніших цілей кіберзлочинців, таких як масова крадіжка даних і програм-вимагачів», — каже Клементс.
IAM контролює питання
Роберт Хьюз, CISO в RSA, рекомендує почати з елементів керування ідентифікацією та доступом (IAM).
«Надійне керування ідентифікацією та доступом може допомогти контролювати розповсюдження зловмисного програмного забезпечення та обмежити його вплив, навіть після збою на рівні захисту від зловмисного програмного забезпечення на рівні людини та кінцевої точки, наприклад, заборонити авторизованим особам натискати посилання та встановлювати програмне забезпечення, яке їм дозволено інсталювати», — розповідає Хьюз Dark Reading. «Після того, як ви переконаєтеся, що ваші дані та ідентифікаційні дані в безпеці, наслідки атаки програм-вимагачів не будуть настільки згубними — і вам не доведеться докладати великих зусиль, щоб змінити образ кінцевої точки».
Філ Нерей з CardinalOps погоджується. Він пояснює, що проти таких тактик, як зловмисне Google Ads, важко захиститися, тому команди безпеки також повинні зосередитися на мінімізації негативних наслідків після атаки програм-вимагачів.
«Це означає переконатися, що SoC має виявлення підозрілої або несанкціонованої поведінки, такої як ескалація привілеїв і використання інструменти адміністрування живих за межами землі як PowerShell і утиліти віддаленого керування», — каже Нерей.
