A Summer of Discontent: The Malware Hits Terpopuler
Sudah musim panas ransomware, serangan rantai pasokan dan serangan tanpa filet terbang di bawah radar keamanan sekolah lama. Dengan malware yang mengamuk saat kami berbaring di pantai, inilah rekap dari strain dan tren yang paling membara yang terlihat di alam liar selama bulan Juli dan Agustus 2019.
Tren Evolusi Malware
Panasnya pasti memiliki efek karena musim panas ini melihat malware terus berkembang, terutama di sekitar tiga tren inti:
Evasion-by-design
Malware semakin dirancang untuk mem-bypass kontrol keamanan dengan memanfaatkan sejumlah taktik, terutama oleh:
- Mengubah hash melalui kebingungan file untuk menghindari AV.
- Menggunakan komunikasi terenkripsi dengan server C2 untuk menggagalkan EDR.
- Menggunakan manipulasi fitur dan gangguan untuk mengelabui AI, mesin pembelajaran mesin, dan kotak pasir melalui deteksi lingkungan seperti itu dan penundaan yang disengaja dalam eksekusi.
Serangan Fileless dan Living-Off-The-Land (LOTL)
Mengambil teknik penghindaran selangkah lebih maju, semakin banyak strain memanfaatkan perintah PowerShell dan menyamar sebagai alat sistem yang sah, semuanya berjalan sepenuhnya dari memori (RAM) untuk terbang di bawah radar solusi berbasis IoC tradisional dan memerlukan analisis berbasis perilaku untuk mendeteksi
(Jack-in-the-box) 2 atau Jack-in-the-box, Squared
Tidak berkat usaha botnet bawah tanah sebagai layanan, seluruh botnet sistem yang disewa disewakan kepada peretas, yang melaluinya mereka dapat memanfaatkan akses yang siap pakai untuk sistem yang hidup dan sehat untuk secara bersamaan melepaskan banyak strain malware yang mereka miliki. Misalnya, Emotet yang melayani IcedID (Bokbot) diikuti oleh Trickbot atau Ryuk ransomware.
Ancaman Segera yang mematikan
Apa jenis malware yang paling eksotis dan mematikan musim panas ini? Ini ringkasannya.
Malware Astaroth menggunakan Teknik Living-Off-The-Land (LOTL)
Menargetkan organisasi Eropa dan Brasil, dan berpose sebuah ancaman langsung hingga 76% dari organisasi yang menguji ketahanan mereka terhadapnya, menurut Cymulate Research Lab, malware Astaroth fileless menghindari kontrol keamanan berbasis IoC tradisional, mencuri kredensial pengguna, termasuk PII, sistem dan data keuangan.
| Kredit: Microsoft |
Tidak ada titik selama seluruh rantai serangan pembunuhan tidak Astaroth menjatuhkan file yang dapat dieksekusi pada disk, atau menggunakan file apa pun yang bukan alat sistem, menjalankan muatannya sepenuhnya dalam memori (RAM).
Sodinokibi Mengeksploitasi CVE untuk Push Ransomware Via situs web MSP
Ransomware Sodinokibi ("Sodi") jarang dalam penggunaan a Windows kerentanan, yaitu CVE-2018-8453 ditambal oleh Microsoft tahun lalu, yang memungkinkan mendapatkan akses tingkat admin. Diduga sebagai penerus ransomware GandCrab sebagai layanan, Sodinokibi disebarluaskan melalui situs web penyedia layanan terkelola (MSP), suatu bentuk serangan rantai pasokan, tempat tautan unduhan diganti dengan executable ransomware. Awalnya dicurigai ditawarkan sebagai layanan di bawah tanah karena pendekatan 'kunci enkripsi utama', telah dikonfirmasi bahwa inilah yang sebenarnya terjadi.
– Damian (@ Damian1338) 28 Agustus 2019
Berita baiknya adalah tidak ada organisasi yang mensimulasikan varian spesifik ini yang ternyata rentan; Namun, tingkat paparan untuk varian Sodi lainnya selama musim panas ini berkisar antara 60% dan 77%, tergantung pada jenis yang diuji.
GermanWiper Ransomware Menambahkan Penghinaan ke Cedera
Menargetkan negara-negara berbahasa Jerman, GermanWiper tidak benar-benar mengenkripsi file. Sebaliknya, itu menimpa semua konten korban dengan nol, menghancurkan data mereka secara permanen. Karenanya uang tebusan itu palsu, menjadikan pembayaran apa pun yang tidak berguna, dan menjadikan cadangan offline penting untuk pemulihan.
Menyamar sebagai aplikasi pekerjaan dengan lampiran CV, malware menyebar melalui kampanye spam email. 64% organisasi mensimulasikan GermanWiper tampaknya rentan ketika menguji kontrol terhadapnya.
MegaCortex Ransomware Memeras Perusahaan yang berbasis di AS dan UE
Menjadi ancaman bagi 70% dari organisasi, berdasarkan simulasi serangan yang dilakukan, MegaCortex sengaja menargetkan perusahaan yang lebih besar dalam upaya memeras uang tunai dalam jumlah yang lebih besar, mulai dari $ 2M – $ 6M dalam bitcoin. Operator MegaCortex mengkompromikan server yang penting untuk bisnis dan mengenkripsi mereka dan sistem lain yang terhubung ke host.
Ransomware ini pada awalnya dieksekusi menggunakan payload yang dienkripsi dengan kata sandi yang dimasukkan secara manual selama infeksi langsung. Dalam strain yang lebih baru, kata sandi ini di-hardcode bersama dengan fitur-fitur lain yang telah diotomatisasi, seperti teknik penghindaran keamanan. Malware juga telah berevolusi untuk mendekripsi dan menjalankan muatannya dari memori.
Diam APT Spreads Malware Targeting Banks di Seluruh Dunia
Grup Advanced Persistent Ancaman (APT) berbahasa Rusia adalah salah satu yang paling canggih di dunia dan baru-baru ini memperbarui TTP-nya untuk mengenkripsi string penting, termasuk perintah yang dikeluarkan untuk bot untuk menghindari deteksi. Awalnya mengirim email pengintaian kepada calon korban untuk mengidentifikasi para penglik-mudah, setelah infeksi awal, para peretas sekarang menyebarkan malware tambahan kepada para korban baik melalui pemuat TrueBot yang ditulis ulang atau melalui pemuat tanpa filet bernama Ivoke, menyembunyikan komunikasi C2 melalui tunneling DNS. Selama setahun terakhir, grup ini telah mengumpulkan sekitar $ 4 juta.
84% organisasi rentan terhadap ketegangan yang dirilis musim panas ini, menurut data Cymulate.
Turla Menyerang Pemerintah menggunakan Server Grup APT Hijacked Oilrig
Khusus menargetkan pemerintah dan badan-badan internasional, Turla terlihat membajak infrastruktur milik kelompok Oilrig APT yang terkait Iran. Dengan menggunakan kombinasi malware kustom, versi modifikasi dari alat peretasan yang tersedia untuk umum dan perangkat lunak admin yang sah, grup ini telah bergerak menuju teknik LOTL, dan para korbannya termasuk kementerian, pemerintah, dan organisasi teknologi komunikasi di sepuluh negara yang berbeda.
70% dari organisasi ditemukan rentan terhadap ancaman ini pada saat pengujian keamanan.
Ingin menilai postur keamanan organisasi Anda sekarang setelah musim panas berakhir? Jelajahi bagaimana pelanggaran dan simulasi serangan dapat memberi Anda wawasan langsung yang dapat ditindaklanjuti yang Anda butuhkan. Pesan demo atau uji coba gratis hari ini!
