Неудачная кибератака пролила свет на тактику кибергруппировки TA505

Неудачная кибератака пролила свет на тактику кибергруппировки TA505

Киберпреступники из TA505 стоят за распространением вымогательского ПО Locky.

image

Неудачная попытка киберпреступников взломать крупную финансовую организацию предоставила исследователям безопасности новые данные о них. Речь идет о хакерской группировке TA505, ответственной за распространение вымогательского ПО Locky. Ее жертвами становятся финансовые организации по всему миру, но в этом месяце их постигла неудача – попытка атаковать неназванную компанию была пресечена ИБ-экспертами из Cybereason.

Благодаря неудачной кибератаке в руках у исследователей оказался образец переделанного бэкдора из арсенала TA505. Вредонос подписан легитимным цифровым сертификатом – тактика, обычно применяющаяся высококвалифицированными киберпреступниками для обхода обнаружения. Бэкдор был подписан всего за несколько часов до атаки сертификатом от удостоверяющего центра Sectigo (ранее Comodo), что свидетельствует о тщательной подготовке.

Исследователи выявили и другие ключевые аспекты операции TA505:

Использование целенаправленного фишинга для взлома небольшого числа учетных записей лишь определенных сотрудников компании;

Наличие у вредоноса избирательного механизма персистентности и команды для самоуничтожения;

Удаление свидетельств кибератаки, включая команды для самоуничтожения и удаление скриптов;

Наличие запасных C&C-доменов на случай внесения в черный список или невозможности подключения по другим причинам.

«На фоне групп, чей срок жизни редко превышает год или два, TA505 удается адаптироваться, меняться и продолжать добиваться успеха», - отметили в Cybereason.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.