Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Неудачная кибератака пролила свет на тактику кибергруппировки, ответственной за вымогателя Locky

25/04/19

hack50-1Неудачная попытка киберпреступников взломать крупную финансовую организацию предоставила исследователям безопасности новые данные о них. Речь идет о хакерской группировке TA505, ответственной за распространение вымогательского ПО Locky. Ее жертвами становятся финансовые организации по всему миру, но в этом месяце их постигла неудача – попытка атаковать неназванную компанию была пресечена ИБ-экспертами из Cybereason.

Благодаря неудачной кибератаке в руках у исследователей оказался образец переделанного бэкдора из арсенала TA505. Вредонос подписан легитимным цифровым сертификатом – тактика, обычно применяющаяся высококвалифицированными киберпреступниками для обхода обнаружения. Бэкдор был подписан всего за несколько часов до атаки сертификатом от удостоверяющего центра Sectigo (ранее Comodo), что свидетельствует о тщательной подготовке.

Исследователи выявили и другие ключевые аспекты операции TA505:

  • Использование целенаправленного фишинга для взлома небольшого числа учетных записей лишь определенных сотрудников компании;
  • Наличие у вредоноса избирательного механизма персистентности и команды для самоуничтожения;
  • Удаление свидетельств кибератаки, включая команды для самоуничтожения и удаление скриптов;
  • Наличие запасных C&C-доменов на случай внесения в черный список или невозможности подключения по другим причинам.

«На фоне групп, чей срок жизни редко превышает год или два, TA505 удается адаптироваться, меняться и продолжать добиваться успеха», - отметили в Cybereason.

Темы:УгрозыLockyCybereason
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...