La bande Rhysida Ransomware est spécialisée dans l’environnement informatique. Nun scheint das kriminelle Hacker-Kollektiv neue Wege einschlagen zu wollen, wie ein Bericht des US-Sicherheitsanbieters Expel nahelegt. Demnach setzen die Cyberkriminellen in your aktuellen Angriffskampagne initial auf Malvertising. Les recherches malveillantes sur l’ordinateur Microsoft Bing et les sites de téléchargement de faux logiciels populaires tels que Microsoft Teams, PuTTY ou Zoom.

Benutzer, sur cette page, lancez un téléchargement et demandez (entre autres) un logiciel de logiciel nommé « OysterLoader » – ausgestattet avec un certificat Microsoft légitime. Il s’agit donc d’un expert en sécurité d’un outil d’accès initial, qui a le meilleur accès à une porte dérobée persistante sur le système, au-delà des cybercriminels les plus longs.

Ainsi, Rhysida prend en charge la chaîne de confiance

Une détection pour entrer – ou pour cela – définir la campagne Rhysida-Angriffskampagne auf une stratégie zweistufige:

• Il s’agit de la version Schadsoftware, livrée avec le pack complet, d’un logiciel malveillant intégré, du transfert ou du transfert. Das sorgt for geringe statische Erkennungsraten, wenn die Schadsoftware entdeckt wird.
• L’application Ransomware-Bande vertrauenswürdige Code-Signing-certificate von Microsoft vous permet de bénéficier de la date de référence de la plupart des « Trust » pour vous aider.

« Le certificat de signature de confiance est fourni avec un certificat de confiance de 72 jours ausgestellt. Cela vous permettra de le faire et de le faire. Das macht es eigentlich unmöglich, Zertifikate zu kaufen und weiterzuverkaufen. Die Rhysida-Bande – ou un de vos proches. Fournisseur – il y a un moyen de le faire, le système de signature vertrauenswürdige de Microsoft pour les erreurs, un rendez-vous dans un grand signieren zu können », arrêtent les spécialistes d’expulsion dans leur fête d’assistance.

Amit Jaju, directeur général principal d’Ankura Consulting, a donné notre contexte :  » Signierte Binärdateien genießen innerhalb von Windows et vielen Sicherheits-Tools automatisches Vertrauen. Deswegen laufen sie souvent sans surveillance pendant. Bis das auf Verteidigerseite auffällt und entsprechende Sperrungen. veranlasst sind, sind die Angreifer längst auf neue Zertifikate umgestiegen.

Laut der Expel-Analyse setzt die Rhysida-Gang inzwischen verstärkt auf solche Code-Signing-Zertifikate. C’est pourquoi vous avez des Einsatz über verschiedene Angriffskampagnen hinweg drastisch gesteigert. Das deute darauf hin, dass die Cyberkriminellen schneller arbeiteten and more Ressourcen einsetzten.

Plages Forensische Signale

Campagnen, die vertrauenswürdige Zertifikate ausnutzen, untergraben das Trust-Modell, auf das sich Unternehmen verlassen. Signierte Malware umgeht App-Zulassungslisten, Browser-Alerts, Betriebssystemprüfungen et Antivirus-Kontrollen. Il s’agit de l’entreprise de la société, des experts en données, qui s’intéresse à un logiciel populaire comme Teams ou PuTTY. « Sobald die Schadsoftware ins System gelangt ist, verschafft sich Persistenz et zieht weitere Payloads nach sich. Un seul, un compromis Endpunkt peut être aussi efficace dans les attaques latérales et plus schließlich dans une attaque Ransomware-gipfeln », prévient Jaju.

Das erfordert von den Verteidigern, ihre Denkweise neu auszurichten – meint etwa Devroop Dhar, Mitbegründer der Technologieberatung Primus Partners : « Wir sollten nicht davon ausgehen, dass signierte Dateien sicher sind. Site Web eines Anbieters oder einen dubiosen Suchmaschinen-Link. Ces petits détails apparaîtront souvent dans tous les nouveaux, sans aucun nom de Herausgebern ou de Zertifikate, die vor ungewöhnlich kurzer Zeit ausgestellt wurden, sollten Verdacht erregen.

Les experts effectuent des analyses, des points de terminaison au niveau de rundll32, des programmes PowerShell ou msiexec pour l’assistance – et ne correspondent pas non plus aux meilleurs noms de logiciels malveillants à l’achat, mais ils sont également susceptibles d’être utilisés par des experts. Das voir Manager Jaju ähnlich. Seine Empfehlung : « Nutzen Sie EDR-Lösungen, die auf Behavior fokussieren, statt auf Trust-Tags. Legen Sie Zertifikate for unternehmenskritische Anwendungen festival, damit nur bekannte and genehmigte ausgeführt werden können. Füttern Sie Ihre Detection-Pipelines mit Informations de base, grâce aux indicateurs de compatibilité directs et à la page de téléchargement appropriée pour bloquer les contrôles DNS et les filtres.

Les experts ont trouvé un problème pour résoudre le problème d’une seule organisation. La Missbrauch du Trusted Signing Service de Microsoft offre des solutions systémiques auf, l’une des vérifications de certification les plus poussées est une branche d’activité plus fiable fournie. (fm)

Avez-vous d’autres études intéressantes sur le thème de la sécurité informatique ? Notre newsletter gratuite liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.