Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Неудачная кибератака пролила свет на тактику кибергруппировки, ответственной за вымогателя Locky

25/04/19

hack50-1Неудачная попытка киберпреступников взломать крупную финансовую организацию предоставила исследователям безопасности новые данные о них. Речь идет о хакерской группировке TA505, ответственной за распространение вымогательского ПО Locky. Ее жертвами становятся финансовые организации по всему миру, но в этом месяце их постигла неудача – попытка атаковать неназванную компанию была пресечена ИБ-экспертами из Cybereason.

Благодаря неудачной кибератаке в руках у исследователей оказался образец переделанного бэкдора из арсенала TA505. Вредонос подписан легитимным цифровым сертификатом – тактика, обычно применяющаяся высококвалифицированными киберпреступниками для обхода обнаружения. Бэкдор был подписан всего за несколько часов до атаки сертификатом от удостоверяющего центра Sectigo (ранее Comodo), что свидетельствует о тщательной подготовке.

Исследователи выявили и другие ключевые аспекты операции TA505:

  • Использование целенаправленного фишинга для взлома небольшого числа учетных записей лишь определенных сотрудников компании;
  • Наличие у вредоноса избирательного механизма персистентности и команды для самоуничтожения;
  • Удаление свидетельств кибератаки, включая команды для самоуничтожения и удаление скриптов;
  • Наличие запасных C&C-доменов на случай внесения в черный список или невозможности подключения по другим причинам.

«На фоне групп, чей срок жизни редко превышает год или два, TA505 удается адаптироваться, меняться и продолжать добиваться успеха», - отметили в Cybereason.

Темы:УгрозыLockyCybereason
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...