DEV-0569 Grupo de ransomware notablemente innovador, advertencias de Microsoft

Por lo general, comienza con publicidad maliciosa y termina con la implementación de Royal ransomware, pero un nuevo grupo de amenazas se ha distinguido por su capacidad para innovar los pasos maliciosos intermedios para atraer a nuevos objetivos.

El grupo de ciberataques, rastreado por Microsoft Security Threat Intelligence como DEV-0569, se destaca por su capacidad para mejorar continuamente sus cargas útiles de descubrimiento, evasión de detección y post-compromiso, según un informe de esta semana del gigante informático.

«DEV-0569 se basa notablemente en publicidad maliciosa, enlaces de phishing que apuntan a un descargador de malware que se hace pasar por instaladores de software o actualizaciones incrustadas en correos electrónicos no deseados, páginas de foros falsas y comentarios de blogs», dijeron los investigadores de Microsoft.

En solo unos meses, el equipo de Microsoft observó las innovaciones del grupo, incluida la ocultación de enlaces maliciosos en los formularios de contacto de las organizaciones; enterrar instaladores falsos en repositorios y sitios de descarga legítimos; y el uso de anuncios de Google en sus campañas para camuflar sus actividades maliciosas.

«La actividad DEV-0569 utiliza binarios firmados y entrega cargas de malware encriptadas», agregó el equipo de Microsoft. «El grupo, también conocido por depender en gran medida de las técnicas de evasión de defensa, ha seguido utilizando la herramienta de código abierto Nsudo para intentar desactivar las soluciones antivirus en campañas recientes».

Las posiciones de éxito del grupo DEV-0569 para servir como intermediario de acceso para otras operaciones de ransomware, dijo Microsoft Security.

Cómo combatir el ingenio del ciberataque

Dejando a un lado los nuevos trucos, Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, señala que el grupo de amenazas de hecho hace ajustes en los bordes de sus tácticas de campaña, pero confía constantemente en los usuarios para cometer errores. Por lo tanto, para la defensa, la educación del usuario es la clave, dice.

«Los ataques de phishing y publicidad maliciosa informados aquí se basan completamente en hacer que los usuarios interactúen con el señuelo», dice Parkin a Dark Reading. «Lo que significa que si el usuario no interactúa, no hay violación».

Agrega: «Los equipos de seguridad deben mantenerse a la vanguardia de las últimas vulnerabilidades y el malware que se implementa en la naturaleza, pero todavía se requiere un elemento de educación y concienciación del usuario, y siempre se requerirá, para convertir a la comunidad de usuarios de la principal superficie de ataque en una sólida línea de defensa».

Hacer que los usuarios sean inmunes a los señuelos ciertamente suena como una estrategia sólida, pero Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, le dice a Dark Reading que es «poco realista e injusto» esperar que los usuarios mantengan un 100% de vigilancia frente a las redes sociales cada vez más convincentes. estratagemas de ingeniería. En cambio, se requiere un enfoque más holístico de la seguridad, explica.

«Entonces, corresponde a los equipos técnicos y de seguridad cibernética de una organización garantizar que el compromiso de un solo usuario no provoque un daño organizacional generalizado debido a los objetivos ciberdelincuentes más comunes de robo masivo de datos y ransomware», dice Clements.

Importancia de los controles de IAM

Robert Hughes, CISO de RSA, recomienda comenzar con controles de gestión de acceso e identidad (IAM).

«Un gobierno de identidad y acceso sólido puede ayudar a controlar la propagación lateral del malware y limitar su impacto, incluso después de una falla en el nivel de prevención de malware humano y de punto final, como evitar que una persona autorizada haga clic en un enlace e instale el software que tiene permitido. instalar», le dice Hughes a Dark Reading. «Una vez que se haya asegurado de que sus datos e identidades estén seguros, las consecuencias de un ataque de ransomware no serán tan dañinas, y no será un gran esfuerzo volver a crear una imagen de un punto final».

Phil Neray de CardinalOps está de acuerdo. Explica que tácticas como los anuncios maliciosos de Google son difíciles de defender, por lo que los equipos de seguridad también deben centrarse en minimizar las consecuencias una vez que ocurre un ataque de ransomware.

«Eso significa asegurarse de que el SoC tenga detecciones de comportamientos sospechosos o no autorizados, como la escalada de privilegios y el uso de herramientas de administración independientes como PowerShell y las utilidades de administración remota», dice Neray.

Fuente del artículo

Deja un comentario