Неудачная кибератака пролила свет на тактику кибергруппировки TA505

Неудачная попытка киберпреступников взломать крупную финансовую организацию предоставила исследователям безопасности новые данные о них. Речь идет о хакерской группировке TA505, ответственной за распространение вымогательского ПО Locky. Ее жертвами становятся финансовые организации по всему миру, но в этом месяце их постигла неудача – попытка атаковать неназванную компанию была пресечена ИБ-экспертами из Cybereason.

Благодаря неудачной кибератаке в руках у исследователей оказался образец переделанного бэкдора из арсенала TA505. Вредонос подписан легитимным цифровым сертификатом – тактика, обычно применяющаяся высококвалифицированными киберпреступниками для обхода обнаружения. Бэкдор был подписан всего за несколько часов до атаки сертификатом от удостоверяющего центра Sectigo (ранее Comodo), что свидетельствует о тщательной подготовке.

Исследователи выявили и другие ключевые аспекты операции TA505:

Использование целенаправленного фишинга для взлома небольшого числа учетных записей лишь определенных сотрудников компании;

Наличие у вредоноса избирательного механизма персистентности и команды для самоуничтожения;

Удаление свидетельств кибератаки, включая команды для самоуничтожения и удаление скриптов;

Наличие запасных C&C-доменов на случай внесения в черный список или невозможности подключения по другим причинам.

«На фоне групп, чей срок жизни редко превышает год или два, TA505 удается адаптироваться, меняться и продолжать добиваться успеха», - отметили в Cybereason.