Контакты
Подписка
МЕНЮ
Контакты
Подписка

Неудачная кибератака пролила свет на тактику кибергруппировки, ответственной за вымогателя Locky

25/04/19

hack50-1Неудачная попытка киберпреступников взломать крупную финансовую организацию предоставила исследователям безопасности новые данные о них. Речь идет о хакерской группировке TA505, ответственной за распространение вымогательского ПО Locky. Ее жертвами становятся финансовые организации по всему миру, но в этом месяце их постигла неудача – попытка атаковать неназванную компанию была пресечена ИБ-экспертами из Cybereason.

Благодаря неудачной кибератаке в руках у исследователей оказался образец переделанного бэкдора из арсенала TA505. Вредонос подписан легитимным цифровым сертификатом – тактика, обычно применяющаяся высококвалифицированными киберпреступниками для обхода обнаружения. Бэкдор был подписан всего за несколько часов до атаки сертификатом от удостоверяющего центра Sectigo (ранее Comodo), что свидетельствует о тщательной подготовке.

Исследователи выявили и другие ключевые аспекты операции TA505:

  • Использование целенаправленного фишинга для взлома небольшого числа учетных записей лишь определенных сотрудников компании;
  • Наличие у вредоноса избирательного механизма персистентности и команды для самоуничтожения;
  • Удаление свидетельств кибератаки, включая команды для самоуничтожения и удаление скриптов;
  • Наличие запасных C&C-доменов на случай внесения в черный список или невозможности подключения по другим причинам.

«На фоне групп, чей срок жизни редко превышает год или два, TA505 удается адаптироваться, меняться и продолжать добиваться успеха», - отметили в Cybereason.

Темы:УгрозыLockyCybereason

Еще темы...