TM_274

12 28|4|2023 #274 Η Check Point Research α ποκαλύπτει νέα ευρήματα για μια ομάδα που σχετίζεται στενά με τον Phosphorus. Αυτή η έρευνα παρουσιάζει μια νέα και βελτιωμένη αλυσίδα μόλυνσης που χρησιμοποιούν οι επιτιθέμενοι. Ακολουθώ- ντας τα ίχνη της επίθεσης, η CPR μπόρεσε να διαπιστώσει συνδέσεις με τη Phosphorus, μια ομάδα απειλών με έδρα το Ιράν που δραστηριοποιείται τόσο στη Βόρεια Αμερική όσο και στη Μέση Ανατολή. Η Phosphorus έχει συνδεθεί στο παρελθόν με ένα ευρύ φάσμα δραστηριοτήτων, που κυμαίνονται από ransomware έως spear-phishing ατόμων υψηλού προφίλ. Στις επιθέσεις που περιγράφονται λεπτομερώς στην πα- ρούσα έκθεση, αποκαλύπτεται ότι ο δράστης της επίθεσης έχει βελτιώσει σημαντικά τους μηχανισμούς του και έχει υι- οθετήσει σπάνια εμφανιζόμενες τεχνικές, όπως η χρήση δυ- αδικών αρχείων “.NET” που δημιουργούνται σε μεικτή λειτουργία με κώδικα συναρμο- λόγησης. Η πρόσφατα ανακαλυφθείσα έκδο- ση προορίζεται πιθα- νότατα για επιθέσεις phishing που επικε- ντρώνονται γύρω από το Ιράκ, χρησιμοποι- ώντας ένα αρχείο ISO για την έναρξη της αλυσίδας μόλυνσης. Άλλα έγγραφα μέσα στο αρχείο ISO ήταν σε εβραϊκή και αραβι- κή γλώσσα, γεγονός που υποδηλώνει ότι τα «δέλεαρ» απευθύ- νονταν σε ισραηλι- νούς στόχους. Η παραλλαγή που περιγράφεται σε αυτή την έκθεση δια- νεμήθηκε χρησιμοποιώντας αρχεία ISO, υποδεικνύοντας ότι είναι πιθανό να αποτελεί τον αρχικό φορέα μόλυνσης. Επειδή πρόκειται για μια ενημερωμένη έκδοση κακόβου- λου λογισμικού που έχει αναφερθεί προηγουμένως, αυτή η παραλλαγή (PowerLess), που σχετίζεται με ορισμένες από τις επιχειρήσεις Ransomware του Phosphorus, μπορεί να αντιπροσωπεύει μόνο τα αρχικά στάδια της μόλυνσης, με σημαντικά κλάσματα δραστηριότητας μετά τη μόλυνση να μην έχουν ακόμη παρατηρηθεί στη φύση. Δεδομένου ότι αυτές οι νέες μολύνσεις δεν έχουν παρα- τηρηθεί ποτέ πριν σε μεθόδους επιθέσεων, η Check Point Software μπορεί να δώσει ορισμένες συμβουλές άμυνας για την προστασία από τέτοιου είδους επιθέσεις: Επικαιροποιημένες ενημερώσεις: Το WannaCry, μια από τις πιο διάσημες παραλλαγές ransomware που υπάρχουν, είναι ένα παράδειγμα ενός «σκουληκιού» ransomware. Κατά τη στιγμή της διάσημης επίθεσης WannaCry τον Μάιο του 2017, υπήρχε ένα patch για την ευπάθεια EternalBlue που χρησιμοποιούσε το WannaCry. Αυτό το διορθωτικό ήταν διαθέσιμο ένα μήνα πριν από την επίθεση και χαρακτηρίστηκε ως «κρίσιμο» λόγω της μεγάλης πιθανότητας εκμετάλλευσής του. Ωστόσο, πολ- λοί οργανισμοί και ιδιώτες δεν εφάρμοσαν εγκαίρως την επιδιόρθωση, με αποτέλεσμα να ξεσπάσει μια επιδημία ransomware που μόλυνε 200.000 υπολογιστές μέσα σε τρεις ημέρες. Η ενημέρωση των υπολογιστών και η εφαρ- μογή των επιδιορθώσεων ασφαλείας, ιδίως εκείνων που χαρακτηρίζονται ως κρίσιμες, μπορεί να συμβάλει στον περιορισμό της ευπάθειας ενός οργανισμού σε επιθέσεις, καθώς οι εν λόγω επιδιορθώσεις συνήθως παραβλέπο- νται ή καθυστερούν πολύ για να προσφέρουν την απαι- τούμενη προστασία. Εκπαίδευση ευαισθητοποίησης στον κυβερνοχώρο: Είναι ένας από τους πιο δημοφιλείς τρόπους εξάπλωσης κακόβου- λου λογισμικού. Με την εξαπάτηση ενός χρήστη, ώστε να κάνει κλικ σε έναν σύνδεσμο ή να ανοίξει ένα κακόβουλο συ- νημμένο αρχείο, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή τού υπαλλήλου. Με το παγκόσμιο κενό σε ταλέντα στον τομέα της κυβερνο- ασφάλειας να επηρεάζει τους οργανισμούς σε όλο τον κό- σμο, η συχνή εκπαίδευση ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας είναι ζωτικής σημασίας για την προστα- σία του οργανισμού από κυβερνοεπιθέσεις, αξιοποιώντας το προσωπικό τους ως την πρώτη γραμμή άμυνας για τη διασφά- λιση ενός προστατευ- μένου περιβάλλοντος. Η εκπαίδευση αυτή θα πρέπει να καθοδηγεί τους υπαλλήλους να κάνουν τα εξής: • Να μην κάνουν κλικ σε κακόβουλους συν- δέσμους. • Να μην ανοίγουν ποτέ απροσδόκητα ή μη αξιόπιστα συνημμένα αρχεία. • Να αποφεύγουν την αποκάλυψη προσωπι- κών ή ευαίσθητων δε- δομένων σε phishers. • Να επαληθεύουν τη νομιμότητα του λογι- σμικού πριν το κατεβάσουν. • Να μην συνδέουν άγνωστο USB στον υπολογιστή τους. • Να χρησιμοποιούν VPN όταν συνδέονται μέσω μη αξιόπι- στου ή δημόσιου Wi-Fi. Χρησιμοποιήστε μια βελτιωμένη προστασία από απειλές: Οι περισσότερες επιθέσεις μπορούν να εντοπιστούν και να επιλυθούν πριν να είναι πολύ αργά. Πρέπει να έχετε αυτομα- τοποιημένη ανίχνευση και πρόληψη απειλών στον οργανισμό σας για να μεγιστοποιήσετε τις πιθανότητες προστασίας σας. Πρόληψη των επιθέσεων: Η υπηρεσία πληροφοριών απει- λών παρέχει τις πληροφορίες που απαιτούνται για τον αποτε- λεσματικό εντοπισμό επιθέσεων zero-day. Η προστασία από αυτές απαιτεί λύσεις που μπορούν να μεταφράσουν αυτές τις πληροφορίες σε ενέργειες που εμποδίζουν την επίτευξη της επίθεσης. Η Check Point έχει αναπτύξει πάνω από εξήντα μηχανές πρόληψης απειλών που αξιοποιούν την τεχνο- λογία ThreatCloud AI threat intelligence για την πρόλη- ψη των επιθέσεων μηδενικής ημέρας. Ενοποίηση της ασφάλειας: Πολλοί οργανισμοί βασίζο- νται σε ένα ευρύ φάσμα αυτόνομων και ασύνδετων λύσε- ων ασφαλείας. Ενώ αυτές οι λύσεις μπορεί να είναι αποτε- λεσματικές στην προστασία από μια συγκεκριμένη απειλή, μειώνουν την αποτελεσματικότητα της ομάδας ασφαλείας ενός οργανισμού, καθώς την κατακλύζουν με δεδομένα και την αναγκάζουν να ρυθμίζει, να παρακολουθεί και να διαχειρίζεται πολλές διαφορετικές λύσεις. Ως αποτέλεσμα, το καταπονημένο προσωπικό ασφαλείας παραβλέπει κρί- σιμες ειδοποιήσεις. Η Check Point ερευνά την ομάδα APT