Det är sommar ransomware, försörjningskedjan attacker och filet attacker flyger under den gamla skolan säkerhetsradar. Med skadlig programvara som rasar när vi ligger på stranden är detta en sammanfattning av de mest flammande stammarna och trenderna som har sett i naturen under juli och augusti 2019.
Trender i Malware Evolution
Värmen har verkligen en effekt eftersom skadlig programvara i sommar såg fortsatt att växa, särskilt runt tre kärntrender:
Evasion by design
Malware är alltmer utformat för att kringgå säkerhetskontroller genom att använda ett antal taktiker, främst genom:
- Ändra hash genom filförvirring för att undvika AV.
- Använder krypterad kommunikation med C2-server för att frustrera EDR.
- Den använder funktionsmanipulation och störningar för att lura AI, maskininlärningsmaskiner och sandlådor genom upptäckt av sådana miljöer och avsiktliga förseningar i utförandet.
Fileless och Living-Off-The-Land (LOTL) attacker
Genom att ta undvikelsestekniker ett steg längre använder fler och fler stammar PowerShell-kommandon och döljer sig som legitima systemverktyg, allt körs helt från minne (RAM) för att flyga under radaren för traditionella IoC-baserade lösningar och kräver beteendebaserad analys för att upptäcka
(Jack-in-the-box) 2 eller Jack-in-the-box, Squared
Inte tack vare underjordiska botnet-ansträngningar som en tjänst hyrs alla botnet-system som hyrs ut till hackare, genom vilka de kan utnyttja färdig tillgång till ett levande och friskt system för att samtidigt släppa många av de skadliga stammarna de har. Till exempel följs emotets som serverar IcedID (Bokbot) av Trickbot eller Ryuk ransomware.
Dödlig omedelbar hot
Vilken är den mest exotiska och dödliga typen av skadlig programvara i sommar? Här är sammanfattningen.
Astaroth Malware använder Living-Off-The-Land (LOTL) -tekniken
Rikta in sig på europeiska och brasilianska organisationer, och en pose direkt hot upp till 76% från organisationer som testar deras motstånd mot det, enligt Cymulate Research Lab, undviker Astaroth fileless malware traditionella IoC-baserade säkerhetskontroller, stjäl användaruppgifter, inklusive PII, system och finansiella data.
Astaroth släpper inte körbara filer på disken eller använder någon fil som inte är ett systemverktyg som kör sin belastning helt i minnet (RAM).
Sodinokibi utnyttjar CVE för Push Ransomware via MSP: s webbplats
Sodinokibi ransomware (“Sodi”) är sällsynt i användningen av en Windows-sårbarhet, nämligen CVE-2018-8453 som lappats av Microsoft förra året, vilket gör det möjligt att få åtkomst på administratörsnivå. Misstänkt som efterträdaren till GandCrab-ransomware som en tjänst sprids Sodinokibi via en webbplats för hanterad tjänsteleverantör (MSP), en form av attackkedja där nedladdningslänkar ersätts med ransomware-körbara program. Ursprungligen misstänkt för att erbjudas som en underjordisk tjänst på grund av “huvudkrypteringsnyckeln” -metoden, har det bekräftats att det är detta som faktiskt hände.
– Damian (@ Damian1338) 28 augusti 2019
Den goda nyheten är att ingen organisation som simulerar denna specifika variant har visat sig vara sårbar; Men exponeringsgraden för andra Sodi-varianter under sommaren varierar mellan 60% och 77%, beroende på vilken typ som testas.
GermanWiper Ransomware lägger till förolämpning mot skador
GermanWiper riktar sig mot tysktalande länder och krypterar inte riktigt filer. Istället skriv det över allt offerinnehåll med noll och förstör deras data permanent. Därför är lösgörelsen falsk, vilket gör alla betalningar värdelösa och gör säkerhetskopiering offline viktig för återhämtning.
Utseende som en jobbansökan med CV-bilagor, sprids skadlig programvara via skräppostkampanjer via e-post. 64% av organisationerna simulering av GermanWiper verkar sårbart när man testar kontroller mot den.
MegaCortex Ransomware Blackmail Company baserat i USA och EU
Bli ett hot mot 70% av organisationen, baserat på en simulering av genomförda attacker, riktar MegaCortex medvetet större företag i ett försök att utpressa större mängder kontanter, från $ 2M – $ 6M i bitcoin. MegaCortex-operatören komprometterar servrar som är viktiga för företag och krypterar dem och andra system anslutna till värden.
Denna ransomware kördes ursprungligen med en nyttolast som krypterades med ett lösenord som matats in manuellt vid direkt infektion. I nyare stammar kodas det här lösenordet tillsammans med andra automatiserade funktioner, till exempel tekniker för att undvika säkerhet. Malware har också utvecklats för att dekryptera och köra innehållet från minnet.
Tysthet APT sprider skadliga program som riktar sig till banker runt om i världen
Den ryska Persistent Advanced Persistent Threat (APT) -gruppen är en av de mest sofistikerade i världen och har nyligen uppdaterat sin TTP för att kryptera viktiga strängar, inklusive kommandon som utfärdats till bots för att undvika upptäckt. Inledningsvis skickade övervakningsmeddelanden till potentiella offer för att identifiera enkla klickare, efter initial infektion sprider hackare nu ytterligare skadlig programvara till offren antingen genom en omskriven TrueBot-laddare eller genom en fillös loader med namnet Ivoke, döljer C2-kommunikation genom DNS-tunneling. Under det senaste året har denna grupp samlat in cirka 4 miljoner dollar.
84% av organisationerna är känsliga för de spänningar som släpptes i sommar, enligt Cymulate-uppgifter.
Turla attackerade regeringen med APT Hijacked Oilrig Group Servers
Turla såg specifikt in sig mot regeringen och internationella byråer och sågs kapa infrastruktur som tillhör den iranska gruppen APT Oilrig relaterade. Med hjälp av en kombination av anpassad skadlig programvara, modifierade versioner av offentligt tillgängliga hackverktyg och legitim adminprogramvara har denna grupp gått mot LOTL-tekniker, och offren inkluderar ministerier, regeringar och kommunikationsteknikorganisationer i tio olika länder.
70% av organisationerna visar sig vara sårbara för detta hot under säkerhetstest.
Vill du utvärdera din organisations säkerhetsställning nu efter att sommaren är över? Utforska hur kränkningar och attacksimuleringar kan ge dig den handlingsbara, direkta insikt du behöver. Beställ en demo eller gratis provperiod idag!
