19-339A: Dridex logiciels Malveillants

, ,

Original date de sortie: 5 décembre 2019

Résumé

Cette Alerte est le résultat de la récente collaboration entre le Ministère de la Trésorerie du Secteur Financier Cyber Information Group (CIG) et le Département du Trésor Financial Crimes Enforcement Network (FinCEN), afin d’identifier et de partager des informations avec le secteur des services financiers. Du trésor et de la Cybersécurité et de la Sécurité des Infrastructures de l’Agence de capitaux (LPCC) sont la fourniture de ce rapport pour informer le secteur sur la Dridex logiciels malveillants et les variantes. Le rapport donne un aperçu du logiciel malveillant, lié à l’activité, et une liste de non signalés précédemment, les indicateurs de compromis obtenu à partir d’informations signalé à FinCEN par les institutions financières du secteur privé. Parce que les acteurs à l’aide de Dridex de logiciels malveillants et de ses dérivés pour continuer à cibler le secteur des services financiers, y compris les institutions financières et les clients, les techniques, les tactiques et les procédures contenues dans le présent rapport de mandat d’un regain d’attention. Du trésor et de la CISA encourager réseau de spécialistes de la sécurité à intégrer ces indicateurs dans les Dridex réseau des capacités de défense et de planification. Pour plus d’informations concernant les malveillantes de cyber acteurs responsables du développement et de la distribution de la Dridex logiciels malveillants, voir le Trésor communiqué de presse, du Trésor des Sanctions Mal Corp, la Russie Cybercriminel Groupe Derrière Dridex les logiciels Malveillants et le FBI, communiqué de presse, National russe Chargé avec de la Décennie Longue Série de Piratage et de Fraude Bancaire Infractions Entraînant des Dizaines de Millions de dollars en Pertes et le Second Nationale russe accusées d’Implication dans le Déploiement de “Bugat” Malware.

Cette Alerte ne pas introduire une nouvelle réglementation de l’interprétation, ni imposer de nouvelles exigences sur les entités réglementées. Sauf indication contraire, il n’y a aucune indication que le propriétaire actuel de l’adresse de courriel a été impliqué dans l’suspects ou malveillants activité. Si l’activité liée à ces indicateurs de compromis est détecté, veuillez en informer approprié d’application de la loi et de la CIG.

Pour télécharger une copie de la IOCs, voir:

Détails Techniques

Le Dridex les logiciels malveillants, et de ses différentes déclinaisons, a la capacité de l’impact de la confidentialité des données du client et la disponibilité des données et systèmes pour les processus métier. Selon les rapports de l’industrie, la version originale de Dridex d’abord paru en 2012, et d’ici 2015, était devenu l’un des plus répandus financière des chevaux de Troie. Nous attendons des acteurs à l’aide d’Dridex de logiciels malveillants et de ses dérivés, de continuer à cibler le secteur des services financiers, y compris les institutions financières et les clients.

Dridex liés au Phishing Attributs

Les acteurs généralement distribuer Dridex logiciels malveillants par le biais de phishing le spam e-mail des campagnes. Les messages de Phishing utilisent une combinaison de légitime noms commerciaux et noms de domaines, professionnel de la terminologie et de la langue ce qui implique l’urgence de convaincre les victimes d’activer l’ouverture des pièces jointes. L’expéditeur de l’e-mail peut simuler des individus (name@domain.com), administratives (admin@domain.com, support@domain.com), ou de “ne pas répondre” de pièces locales (noreply@domain.com). L’objet et l’attachement des titres peuvent inclure typique des termes tels que la “facture”, “ordre”, “scan”, “réception”, “note de débit”, “itinéraire”, et d’autres.

Les messages e-mail varient largement. Le corps du message peut contenir pas de texte du tout, sauf pour inclure des pièces jointes avec des noms qui sont des chaînes de nombres, apparemment, en s’appuyant sur la ligne d’objet et la victime de la curiosité pour forcer l’ouverture du fichier malveillant. Où il y a un message du corps, le corps peut préciser que le contenu de l’e-mail a subi de balayage de virus ou tout simplement oriente la victime vers le lien ou une pièce jointe. Dans d’autres cas, le corps peut inclure un long message de fond, offrant de multiples points de contact et le contexte de la pièce jointe malveillante. L’attachement et le lien hypertexte noms varient de hasard ensembles de nombres ou de l’imitation automatique des noms de fichiers à partir de scanners pour les noms de fichiers prétendant référence dossiers financiers. Les pièces jointes peuvent ou peuvent ne pas avoir de références directes en utilisant le même nom de fichier ou de chaînes de chiffres dans le corps des e-mails.

Exemple les Liens et les noms de fichiers (Note: les informations du lien représentatif. En italique les déclarations sont générées automatiquement par le cloud fournisseur de stockage. # représente un nombre aléatoire.):

  • Lien: HTTPS://WWW.GOOGLE[.]COM/URL?Q=HTTPS://WWW.(Fournisseur De Services Cloud)[.]COM/S/(Cloud Compte de la Valeur) /RÉCENTES%20WIRE%20PAYMENT %######.SCR?(Cloud À Condition De La Séquence)

  • Lien: HTTPS://WWW.GOOGLE[.]COM/URL?Q=HTTPS://WWW.(Fournisseur De Services Cloud) [.]COM/S/ Cloud Compte de la Valeur/AUTOMATEDCLEARINGHOUSE%20 PAYMENT####.DOC? (Cloud À Condition De La Séquence)

  • Lien: Fichier Malveillant: ID201NLD0012192016.DOC

Les pièces jointes ou d’éventuels téléchargements peuvent prendre une variété de formats. Dans certains cas, les téléchargeurs de logiciels malveillants cachés dans des fichiers compressés à l’aide de la ZIP ou RAR formats de fichier. Parfois les fichiers compressés dans le dossier compressé (zippé double) sont utilisés. Les fichiers compressés peuvent inclure (extensible markup language.xml), Microsoft Office (.doc, .xls), Visual Basic (.vbs), JavaScript (.jar), portable document format (.pdf) des fichiers. De nombreux fichiers, plutôt que de contenant le malware réelle, contiennent caché ou dissimulé des macros. Lors de l’activation, les macros parvenir à une commande et de contrôle du serveur, serveur FTP, cloud ou sur site de stockage pour télécharger le réel Dridex logiciels malveillants. Dans d’autres cas, les macros de lancer les scripts d’extraction de fichiers exécutables intégrés dans le document plutôt que de télécharger la charge utile.

Par défaut, le logiciel empêche généralement l’exécution de macros sans autorisation de l’utilisateur. Les fichiers joints, en particulier .doc et .les fichiers xls, contiennent des instructions sur la façon dont l’utilisateur doit activer le contenu et plus précisément des macros, de l’utilisation efficace de l’ingénierie sociale pour faciliter le téléchargement. Des fichiers malveillants parfois même inclure des captures d’écran, les actions nécessaires pour activer les macros.

Les Logiciels Malveillants Les Capacités

Dridex malware fonctionne à partir de plusieurs modules qui peuvent être téléchargées ou après le téléchargement initial d’un “chargeur” module. Les Modules comprennent des dispositions pour les captures d’écran, agissant comme une machine virtuelle, ou l’intégration de la victime de la machine dans un réseau de zombies. À travers son histoire et son développement, Dridex a utilisé plusieurs exploits et les méthodes d’exécution, y compris la modification de répertoire de fichiers, en utilisant le système de récupération de l’escalade de privilèges, et de la modification des règles de pare-feu afin de faciliter peer-to-peer de la communication pour l’extraction des données. Les versions récentes de Dridex exploiter la vulnérabilité CVE-2017-0199, qui permet l’exécution à distance de code. Cette vulnérabilité est spécifique à Microsoft Office et WordPad. Microsoft a publié un correctif en 2017.

Une fois téléchargé et active, Dridex dispose d’un large éventail de capacités, de télécharger de logiciel supplémentaire pour l’établissement d’un réseau virtuel à la suppression de fichiers. La principale menace pour l’activité financière est la Dridex de la capacité à infiltrer les navigateurs, détecter l’accès aux services bancaires en ligne d’applications et de sites web, et d’injecter des logiciels malveillants ou capture logiciel, via l’API hooking, pour voler les identifiants du client. Dridex modules de colis, de crypter et de transmettre les informations saisies, des captures d’écran, etc., via peer-to-peer (P2P) des réseaux dans le format XML ou au format binaire, comme on le voit dans des versions plus récentes. Après avoir volé les données de connexion, les attaquants ont le potentiel de faciliter frauduleuse de chambre de compensation automatisée (ACH) et les virements bancaires, ouvrir les comptes frauduleux, et éventuellement adapter victime des comptes pour d’autres escroqueries impliquant les entreprises de l’e-mail de compromis ou de l’argent mule activité.

Le Dridex malware a évolué à travers plusieurs versions depuis sa création, en partie pour s’adapter à la mise à jour des navigateurs. Bien que les caractéristiques décrites reflètent certaines des plus récentes des configurations, les acteurs continuent d’identifier et d’exploiter les vulnérabilités les plus largement utilisés des logiciels.

Dridex logiciels Malveillants et les Variantes

Alors que Dridex est parmi les plus fréquents des sources d’infection, les variantes précédentes et malware similaires continuent de représenter une menace. Dridex est elle-même une amélioration de la variante de la Cridex et Bugat les chevaux de Troie qui l’ont précédé, et il partage certaines de leurs codes. Alors que le précédent variantes  » vol activités de fonctionner dans la plupart de la même façon, le P2P communication aspects de Dridex améliorer sa dissimulation et de la redondance.

Ransomware

Les acteurs de la distribution de Dridex emploient le plus souvent ransomware avec des configurations similaires. Code pour BitPaymer, aussi connu comme Friedex, comporte de nombreuses similitudes avec Dridex, en dépit de sa fonction comme ransomware, plutôt que de l’extraction des données. Les deux logiciels utilisent la même mécanique pour plusieurs fonctions, et les auteurs ont compilé les codes à peu près au même moment. Le ransomware distribués par le biais de ces logiciels a ciblé les institutions financières AMÉRICAINES et a abouti à des données et des pertes financières.

Locky ransomware fonctionne à l’aide de la même méthode de livraison pour le downloader, avec les mêmes lignes d’objet et les pièces jointes. Les attaquants utilisent les mêmes réseaux de zombies à la fois d’offrir Dridex et Locky ransomware, parfois simultanément. Les variantes de Locky inclure Zepto et d’Osiris. Locky ransomware et ses variantes ont une large empreinte, avec des répercussions différentes selon victime des politiques et des pratiques et des configurations réseau.

Dridex liées à l’Activité

Bien que le plus haut taux d’infection a eu lieu fin 2015 et début 2016, en même temps que Locky ransomware distribution, Dridex continue de l’impact de nombreux pays. Le Dridex les pirates semblent directe de la majorité des attentats dans les pays de langue anglaise. La cybersécurité de rapports de l’industrie attributs Dridex, BitPaymer, et Locky de campagnes, ainsi que d’autres massifs malwares spam (malspam) des campagnes d’acteurs appelés alternativement Mal Corp ou TA505. (Remarque: certains de cybersécurité de rapports de l’industrie se réfère simplement à les acteurs “Dridex” ou la “Dridex pirates.”) Les acteurs de distribuer les logiciels malveillants à l’aide massive des campagnes de spam, de l’envoi jusqu’à des millions de messages par jour, bien que le volume des messages varie largement.

Les indicateurs de Compromission

Les indicateurs suivants sont associés à l’activité décrite dans le présent rapport:

Type D’Indicateur La Valeur De L’Indicateur Activité Qui Y Est Associée
Adresse Email info[@]antonioscognamiglio[.]il Dridex
Adresse Email info[@]golfprogroup[.]com Dridex
Adresse Email cariola72[@]teletu[.]il Dridex
Adresse Email faturamento[@]sudestecaminhoes[.]com.br Dridex
Adresse Email info[@]melvale[.]co.royaume-uni Dridex
Adresse Email fabianurquiza[@]correo.dalvear[.]com.ar Dridex
Adresse Email web1587p16[@]mail.flw-buero[.]au Dridex
Adresse Email bounce[@]bestvaluestore[.]org Dridex
Adresse Email farid[@]abc-télécom[.]az Dridex
Adresse Email bounce[@]bestvaluestore[.]org Dridex
Adresse Email admin[@]sevpazarlama[.]com Dridex
Adresse Email faturamento[@]sudestecaminhoes[.]com.br Dridex
Adresse Email pranab[@]pdrassocs[.]com Dridex
Adresse Email tom[@]blackburnpowerltd[.]co.royaume-uni Dridex
Adresse Email yportocarrero[@]elevenca[.]com Dridex
Adresse Email s.palani[@]itifsl.co[.]dans Dridex
Adresse Email faber[@]imaba[.]nl Dridex
Adresse Email admin[@]belpay[.]par Dridex
Adresse IP 62[.]149[.]158[.]252 Dridex
Adresse IP 177[.]34[.]32[.]109 Dridex
Adresse IP 2[.]138[.]111[.]86 Dridex
Adresse IP 122[.]172[.]96[.]18 Dridex
Adresse IP 69[.]93[.]243[.]5 Dridex
Adresse IP 200[.]43[.]183[.]102 Dridex
Adresse IP 79[.]124[.]76[.]30 Dridex
Adresse IP 188[.]125[.]166[.]114 Dridex
Adresse IP 37[.]59[.]52[.]64 Dridex
Adresse IP 50[.]28[.]35[.]36 Dridex
Adresse IP 154[.]70[.]39[.]158 Dridex
Adresse IP 108[.]29[.]37[.]11 Dridex
Adresse IP 65[.]112[.]218[.]2 Dridex

 

Mesures d’atténuation

Du trésor et de la CISA encourager les utilisateurs et les organisations à:

  1. Contactez l’application de la loi immédiatement rapport au sujet de toute activité liée à Dridex de logiciels malveillants ou de ses dérivés. Voir les coordonnées pour le FBI et la CISA, à la fin de ce rapport.
  2. Intégrer les indicateurs de compromission identifiés dans le présent rapport dans les systèmes de détection d’intrusion et de la sécurité des systèmes d’alerte activer active de blocage ou de rapports d’activités malveillantes. Notez que la liste ci-dessus n’est pas une liste complète de tous les indicateurs associés à cette activité.
  3. Signaler une activité suspecte, mettant en évidence la présence de “Cyber Événement Indicateurs.” Indicateurs de Compromis, telles que les adresses e-mail, les noms de fichiers, de la cendre, des domaines et des adresses IP, peuvent être fournis en vertu de l’Article 44 de la Suspecte Rapport d’Activité (SAR) de la forme. FinCEN accueille volontaire SAR dépôt dans des circonstances où la déclaration n’est pas requise.

Recommandations pour Toutes les Organisations

Les mesures d’atténuation suivantes recommandations répondre directement à Dridex TTPs:

  • S’assure que les systèmes sont configurés par défaut pour empêcher l’exécution de macros.
  • Informer et éduquer les employés sur l’apparition de messages de phishing, en particulier ceux utilisés par les pirates pour la distribution de logiciels malveillants dans le passé.
  • Mise à jour de la détection d’intrusion et les systèmes de prévention fréquemment pour assurer les dernières variantes de logiciels malveillants et les téléchargeurs sont inclus.
  • Effectuer régulièrement la sauvegarde des données, s’assurer que les sauvegardes sont protégés contre les attaque ransomware.
  • D’exercice des employés de réponse pour les messages de phishing et les intrusions.
  • Si il n’y a aucun doute sur la validité du message, de l’appel et de confirmer le message à l’expéditeur à l’aide d’un numéro ou une adresse e-mail est déjà enregistrée.
  • Du trésor et de la CISA rappeler aux utilisateurs et aux administrateurs d’utiliser les meilleures pratiques suivantes pour renforcer la sécurité de leur organisation, des systèmes:
  • Maintenir à jour des signatures antivirus et des moteurs.
  • Garder le système d’exploitation des patchs à jour.
  • Désactiver le partage de fichiers et imprimantes services. Si ces services sont requis, l’utilisation de mots de passe forts ou de l’authentification Active Directory.
  • Limiter la capacité des utilisateurs (droits d’accès) d’installer et d’exécuter les logiciels indésirables des applications. Ne pas ajouter des utilisateurs au groupe administrateurs local, sauf si nécessaire.
  • Appliquer un mot de passe fort de la politique et nécessitent régulièrement des changements de mot de passe.
  • Faire preuve de prudence lors de l’ouverture de pièces jointes à un courriel, même si la pièce jointe est prévu et l’expéditeur semble être connu.
  • Activer un pare-feu personnel sur les postes de travail, et le configurer pour nier non sollicités demandes de connexion.
  • Désactiver les services inutiles de l’agence, les postes de travail et serveurs.
  • Rechercher et supprimer les pièces jointes suspectes; s’assurer que la pièce jointe numérisée est son “vrai type de fichier” (c’est à dire, l’extension correspond à l’en-tête de fichier).
  • Surveiller les habitudes de navigation sur internet; limiter l’accès aux sites dont les contenus.
  • Faire preuve de prudence lors de l’utilisation d’un support amovible (par exemple, des clés USB, disques durs externes, Cd).
  • Analyser tous les logiciels téléchargés à partir d’Internet avant de s’exécuter.
  • Maintenir la connaissance de la situation des menaces les plus récentes.
  • Mettre en œuvre des listes de contrôle d’accès.
  • L’exercice de la cybersécurité des procédures et des plans de continuité des opérations afin d’améliorer et de maintenir la capacité de réagir pendant et après un incident cybernétique.

Le National Institute of Standards and Technology (NIST) a publié des informations supplémentaires sur les logiciels malveillants de prévention des incidents et de manutention, de leur Publication Spéciale 800-83, Guide de programmes Malveillants de Prévention des Incidents et de la Manipulation pour les Ordinateurs de bureau et les ordinateurs Portables:

Pourquoi Les Meilleures Pratiques En La Matière

L’Agence Nationale de Sécurité (NSA) a récemment publié son Top Dix de la Cybersécurité des Stratégies d’Atténuation (C’est le site actuel de Top 10 des stratégies d’atténuation: https://www.nsa.gov/Portals/70/documents/what-we-do/cybersecurity/professional-resources/csi-nsas-top10-cybersecurity-mitigation-strategies.pdf?v=1). Aligné avec le NIST, la Cybersécurité, le Cadre de Stratégies d’offrir une approche fondée sur le risque afin d’atténuer l’exploitation des techniques utilisées par Avance persistent Threat (APT) pour les acteurs.

Les Stratégies contre un large éventail de l’exploitation des techniques employées par les cyber-acteurs. La NSA atténuations de définir des priorités pour les entreprises à minimiser la mission de l’impact. Les mesures d’atténuation dans le prolongement de l’NIST Cybersécurité Cadre de fonctions pour gérer le risque pour la cybersécurité et de promouvoir une défense en profondeur posture de sécurité. Les stratégies d’atténuation sont classées en fonction de l’efficacité contre connu APT tactiques. D’autres stratégies et les meilleures pratiques seront nécessaires pour atténuer l’apparition de nouvelles tactiques.

  1. Mise à jour et Mise à niveau du Logiciel Immédiatement. Appliquer toutes les mises à jour logicielles disponibles, d’automatiser les processus dans la mesure du possible, et d’utiliser un service de mise à jour fourni directement par le vendeur. L’automatisation est nécessaire en raison de la menace des acteurs de l’étude de patchs et de créer des exploits, souvent peu après, un patch est sorti. Ces “N-journée” exploits peut être aussi dommageable que de zéro jour. Fournisseur de mises à jour doivent également être authentique; mises à jour sont généralement signé et livré plus protégé des liens vers d’assurer l’intégrité du contenu. Sans une action rapide et approfondie de l’application de patchs, menace les acteurs peuvent travailler à l’intérieur d’un défenseur du patch cycle.
  2. Défendre les Privilèges et les Comptes. Attribuer des privilèges sur la base de l’exposition au risque et pour maintenir les opérations. L’utilisation d’un Accès Privilégié Management (PAM) solution pour automatiser la gestion des informations d’identification et fine de contrôle d’accès. Une autre manière de gérer le privilège est par la différenciation de l’accès administratif dans lequel chaque niveau supérieur offre un accès supplémentaire, mais est limitée à moins de personnel. Création de procédures de manière sécurisée réinitialiser les informations d’identification (p. ex., mots de passe, jetons, billets). Pour les comptes privilégiés et les services doivent être contrôlés en raison de la menace acteurs continuent de cibler les informations d’identification d’administrateur pour accéder à haute valeur des actifs, et de se déplacer latéralement à travers le réseau.
  3. Appliquer Signé Le Logiciel De L’Exécution Des Politiques. Utiliser un système d’exploitation moderne qui impose signé de logiciels les stratégies d’exécution pour les scripts, les fichiers exécutables, les pilotes de périphérique et le microprogramme du système. Maintenir une liste des certificats approuvés pour prévenir et détecter l’utilisation et l’injection de illégitimes exécutables. Les stratégies d’exécution, lorsqu’il est utilisé en conjonction avec un secure boot capacité, peut assurer l’intégrité du système. Une liste Blanche des applications doit être utilisé avec les logiciels signés de l’exécution des mesures destinées à assurer un plus grand contrôle. Permettant logiciels non signés, permet aux auteurs de menaces pour s’implanter et d’établir la persistance via embedded code malveillant.
  4. L’exercice d’un Système de Plan de redressement. Créer, à l’examen, et l’exercice d’un système de plan de reprise d’assurer la restauration des données dans le cadre d’une vaste stratégie de récupération d’urgence. Le plan doit protéger les données critiques, les configurations et les journaux pour assurer la continuité des opérations en raison d’événements inattendus. Pour une protection supplémentaire, les sauvegardes doivent être chiffrées stockées hors site, en mode hors connexion lorsque cela est possible, et le soutien de la récupération et la reconstitution de systèmes et de périphériques. Effectuer des tests périodiques et évaluer le plan de sauvegarde. Mise à jour du plan d’nécessaires pour répondre à l’évolution constante de l’environnement de réseau. Un plan de redressement est nécessaire à l’atténuation des catastrophes naturelles ainsi que les menaces malveillantes y compris ransomware.
  5. Gérer activement les Systèmes et Configurations. Faire l’inventaire des périphériques réseau et des logiciels. Supprimer les indésirables, inutiles, ou inattendu, le matériel et les logiciels à partir du réseau. Départ à partir d’une base réduit la surface d’attaque et établit le contrôle de l’environnement opérationnel. Par la suite, de participer activement à la gestion des périphériques, des applications, des systèmes d’exploitation et les configurations de sécurité. Actif de l’entreprise de gestion s’assure que les systèmes peuvent s’adapter à la dynamique de la menace des environnements de la mise à l’échelle et à la rationalisation de la gestion administrative.
  6. Continuellement à la Chasse pour les Intrusions sur le Réseau. Prendre des mesures proactives afin de détecter, de contenir, et de supprimer toutes les menaces sur la présence au sein du réseau. De l’entreprise, les organisations devraient assumer qu’un compromis a pris place et l’utilisation d’équipes dédiées à continuellement chercher, contenir et éliminer la menace des acteurs au sein du réseau. Détection Passive des mécanismes, tels que les journaux, la Sécurité de l’Information et de la Gestion des Événements (SIEM), des produits d’Extrémité de Détection et d’Intervention (EDR) de solutions, et d’autres données analytiques sont des outils précieux pour trouver malveillants ou des anomalies de comportements. Des activités sportives, devraient également la chasse aux opérations et des tests de pénétration à l’aide de bien documentés de réponse aux incidents de procédures à appliquer découvert des failles dans la sécurité. Établir des mesures proactives transition de l’organisation au-delà des simples méthodes de détection, permettant en temps réel de détection des menaces et de l’assainissement à l’aide d’une surveillance continue et de la stratégie d’atténuation.
  7. L’Effet De Levier Du Matériel Moderne, Des Fonctions De Sécurité. L’utilisation de matériel de dispositifs de sécurité comme l’Unified Extensible Firmware Interface (UEFI et Secure Boot, Trusted Platform Module (TPM), et la virtualisation matérielle. L’horaire des dispositifs plus anciens pour une actualisation du matériel. Le matériel moderne dispose d’accroître l’intégrité du processus de démarrage, de créer un système d’attestation, et les fonctions de support pour haut risque de l’application de confinement. À l’aide d’un système d’exploitation moderne sur le matériel obsolète résulte une réduction de la capacité à protéger le système, des données critiques, et l’utilisateur des informations d’identification de la menace des acteurs.
  8. Séparer Les Réseaux À L’Aide De L’Application-Aware Défenses. Séparer les critiques des réseaux et des services. Déploiement de l’application du réseau prenant en compte les défenses de bloquer ou mal formés trafic et de limiter le contenu, selon la politique et les autorisations légales. Traditionnelles de détection d’intrusion, sur la base des mauvaises signatures est rapidement décroissant d’efficacité en raison de cryptage et de leurs techniques de dissimulation. Menace acteurs masquer les actes de malveillance et de suppression des données sur des protocoles, rendant le besoin d’un système sophistiqué de détection des applications de mécanismes de défense critique moderne réseau de défenses.
  9. Intégrer La Menace Des Services De Réputation. L’effet de levier multi-sources menace les services de réputation de fichiers, DNS, les Url, les adresses ip et les adresses de courriel. Les services de réputation de faciliter la détection et la prévention de malveillant événements et permettre rapide des réponses globales à des menaces, une réduction de l’exposition à partir de menaces connues et de leur donner accès à une plus large analyse de la menace et de basculement capacité qu’une organisation peut fournir sur son propre. Les menaces émergentes, que ce soit ciblée ou globale des campagnes, se produire plus rapidement que la plupart des organisations peuvent gérer, résultant en une mauvaise couverture des nouvelles menaces. Multi-réputation de la source et le partage de l’information services peut fournir plus rapidement et plus efficacement posture de sécurité contre les menaces dynamique des acteurs.
  10. La Transition vers d’Authentification Multi-facteurs. Donner priorité à la protection pour les comptes avec privilèges élevés, l’accès à distance et/ou utilisés sur la haute valeur de l’actif. Physique jeton d’authentification basée sur les systèmes doivent être utilisés pour compléter la connaissance des facteurs tels que les mots de passe et codes d’accès. Les organisations devraient migrer loin de seul facteur d’authentification, tels que le mot de passe de base de systèmes, qui sont soumises à un mauvais choix de l’utilisateur et sensible à l’identification de vol, la falsification, et de les réutiliser dans plusieurs systèmes.

 

Les Informations De Contact

De Signaler Les Cas Présumés De L’Activité Malveillante

Pour signaler une intrusion et la demande de ressources pour l’intervention en cas d’incident ou d’assistance technique, contactez CISA (CISAservicedesk@hq.dhs.gov ou 888-282-0870), FBI par l’intermédiaire d’un bureau local, (https://www.fbi.gov/contact-us/field-offices), ou Division du FBI Cyber (CyWatch@fbi.gov ou 855-292-3937).

Les Institutions doivent déterminer si le dépôt d’un Suspect Rapport d’Activité (“SAR”) est requis en vertu des règlements de la Loi sur le Secret Bancaire. Dans les cas où le dépôt n’est pas obligatoire, les établissements peuvent déposer une SAR volontairement à l’aide FinCEN et l’application de la loi d’efforts afin de protéger le secteur financier. Les institutions financières sont encouragés à fournir des cyber-les informations et les indicateurs de SAR la production de rapports. Pour des questions concernant la cyber-SAR dépôt, veuillez contacter le FinCEN Centre de Ressources (FRC@fincen.gov ou 1-800-767-2825).

Open-Source De Rapports Sur Dridex

Le texte qui suit présente en ordre alphabétique) une sélection de open-source de déclaration par le gouvernement AMÉRICAIN et les sources de l’industrie sur Dridex de logiciels malveillants et de ses dérivés:

 

Révisions

  • Le 5 décembre 2019: version Initiale
  • Le 5 décembre 2019: Ajout de liens vers du Trésor et le FBI communiqués de presse

Ce produit est fourni sous réserve de la présente Notification et ce, de Confidentialité et d’Utilisation de la politique.

Source de l’article sur us-cert.gov

/par

L’assistance proposée par ANKAA PMO

ANKAA PMO présent depuis plus de 20 ans sur le marché des services IT, accompagne les DSI dans leur recherche de compétences pour des besoins de renforts en mode régie ou l’externalisation de projets.
Vous souhaitez plus d’information ? Cliquez ici


Vous aimerez peut-être aussi
AA20-227A: Phishing Emails Used to Deploy KONNI Malware
AA22-264A: Iranian State Actors Conduct Cyber Operations Against the Government of Albania
CERTFR-2021-ALE-014 : Vulnérabilité dans Microsoft Windows (02 juillet 2021)
CERTFR-2023-ALE-010 : Multiples vulnérabilités dans Exim (02 octobre 2023)
CERTFR-2020-ALE-23 : Multiples vulnérabilités dans Google Chrome (12 novembre 2020)
CERTFR-2021-ALE-011 : Vulnérabilité dans VMware vCenter Server (07 juin 2021)
AA22-279A: Top CVEs Actively Exploited By People’s Republic of China State-Sponsored Cyber Actors
CERTFR-2020-ALE-024 : Vulnérabilité dans les produits VMware (24 novembre 2020)