Genellikle kötü amaçlı reklamcılıkla başlar ve Royal fidye yazılımının konuşlandırılmasıyla sona erer, ancak yeni bir tehdit grubu, yeni hedefleri cezbetmek için aradaki kötü niyetli adımları yenileme becerisiyle kendini ayırdı.
Microsoft Güvenlik Tehdit İstihbaratı tarafından DEV-0569 olarak izlenen siber saldırı grubu, bilgi işlem devi tarafından bu hafta yayınlanan bir rapora göre, keşif, tespitten kaçınma ve uzlaşma sonrası yüklerini sürekli iyileştirme becerisiyle dikkat çekiyor.
Microsoft araştırmacıları, “DEV-0569, özellikle spam e-postalara, sahte forum sayfalarına ve blog yorumlarına gömülü yazılım yükleyicileri veya güncellemeler gibi davranan bir kötü amaçlı yazılım indiricisine işaret eden kötü amaçlı reklamcılık, kimlik avı bağlantılarına dayanır” dedi.
Yalnızca birkaç ay içinde Microsoft ekibi, kuruluşların iletişim formlarına kötü amaçlı bağlantıların gizlenmesi dahil olmak üzere grubun yeniliklerini gözlemledi; sahte yükleyicileri yasal indirme sitelerine ve depolarına gömmek; ve kötü niyetli faaliyetlerini kamufle etmek için kampanyalarında Google reklamlarını kullanmak.
Microsoft ekibi, “DEV-0569 etkinliği, imzalanmış ikili dosyaları kullanır ve şifrelenmiş kötü amaçlı yazılım yükleri sunar” diye ekledi. “Ayrıca savunmadan kaçınma tekniklerine büyük ölçüde güvendiği bilinen grup, son kampanyalarda antivirüs çözümlerini devre dışı bırakmaya çalışmak için açık kaynaklı Nsudo aracını kullanmaya devam etti.”
Grubun başarı pozisyonları DEV-0569 Microsoft Security, diğer fidye yazılımı operasyonları için bir erişim aracısı olarak hizmet edeceğini söyledi.
Siber Saldırı Zekasıyla Nasıl Mücadele Edilir?
Yeni numaralar bir yana, Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, tehdit grubunun gerçekten de kampanya taktiklerinin kenarlarında ayarlamalar yaptığına, ancak hata yapma konusunda sürekli olarak kullanıcılara güvendiğine dikkat çekiyor. Bu nedenle, savunma için kullanıcı eğitiminin anahtar olduğunu söylüyor.
Parkin, Dark Reading’e “Burada bildirilen kimlik avı ve kötü amaçlı reklamcılık saldırıları, tamamen kullanıcıların yemle etkileşime girmesini sağlamaya dayanıyor” dedi. “Bu, kullanıcı etkileşime girmezse ihlal olmadığı anlamına gelir.”
“Güvenlik ekiplerinin vahşi ortamda dağıtılan en son istismarların ve kötü amaçlı yazılımların bir adım önünde olmaları gerekiyor, ancak kullanıcı topluluğunu ana yoldan döndürmek için gerekli ve her zaman gerekli olacak bir kullanıcı eğitimi ve farkındalığı unsuru var. Saldırı yüzeyi sağlam bir savunma hattına dönüşür.”
Kullanıcıları tuzağa karşı dayanıklı kılmak kesinlikle sağlam bir strateji gibi görünüyor, ancak Cerberus Sentinel’in çözüm mimarisinden sorumlu başkan yardımcısı Chris Clements, Dark Reading’e, kullanıcıların giderek daha inandırıcı hale gelen sosyal medya karşısında %100 tetikte olmalarını beklemenin “hem gerçekçi hem de adaletsiz” olduğunu söylüyor. mühendislik hileleri. Bunun yerine, güvenliğe daha bütüncül bir yaklaşımın gerekli olduğunu açıklıyor.
Clements, “Tek bir kullanıcının güvenliğinin aşılmasının, toplu veri hırsızlığı ve fidye yazılımı gibi en yaygın siber suç hedeflerinden kaynaklanan yaygın kurumsal hasara yol açmamasını sağlamak, bir kuruluştaki teknik ve siber güvenlik ekiplerine düşüyor” diyor.
IAM Kontrolleri Önemlidir
RSA’da CISO olan Robert Hughes, kimlik ve erişim yönetimi (IAM) kontrolleriyle başlamanızı önerir.
“Güçlü kimlik ve erişim yönetişimi, yetkili kişinin bir bağlantıya tıklamasını ve izin verilen yazılımı yüklemesini durdurmak gibi insan ve uç nokta kötü amaçlı yazılım önleme düzeyindeki bir başarısızlıktan sonra bile, kötü amaçlı yazılımın yanal yayılmasını kontrol etmeye ve etkisini sınırlamaya yardımcı olabilir. kurun,” diyor Hughes, Dark Reading’e. “Verilerinizin ve kimliklerinizin güvende olduğundan emin olduktan sonra, bir fidye yazılımı saldırısının sonuçları eskisi kadar zarar verici olmayacak ve bir son noktayı yeniden tasarlamak o kadar da zahmetli olmayacak.”
CardinalOps’tan Phil Neray aynı fikirde. Kötü amaçlı Google Reklamları gibi taktiklere karşı savunmanın zor olduğunu, bu nedenle güvenlik ekiplerinin bir fidye yazılımı saldırısı gerçekleştiğinde serpintiyi en aza indirmeye odaklanması gerektiğini açıklıyor.
Neray, “Bu, SoC’nin, ayrıcalık yükseltme ve PowerShell ve uzaktan yönetim yardımcı programları gibi arazi dışında yaşayan yönetici araçlarının kullanımı gibi şüpheli veya yetkisiz davranışlar için tespitler yaptığından emin olmak anlamına gelir” diyor.