Главная   Аналитика   Безопасность    Наука и технологии   Проекты    Soft   Hard   О том, о сём    Контакты

Positive Technologies: TA505 становится самой oпасной киберпреступной группировкой в мире

3.10.2019

Экспертный центр безопасности компании Positive Technologies (PT Expert Security Center) представил анализ деятельности группы TA505. За последние шесть месяцев она резко усилила свою активность, атаковав 26 компаний, нарастила ресурсы и стала использовать более сложные техники для сокрытия своего присутствия. Среди целей — крупнейшие финансовые, производственные и транспортные компании, государственные структуры. Группировка атакует организации из Великобритании, Канады, США, Южной Кореи и десятков других стран.

Для проникновения в сети компаний-жертв группа использует фишинговые письма. С каждой новой волной атак злоумышленники привносят качественные изменения в свой инструментарий. С июня 2019 года новые загрузчики вредоносной программы FlawedAmmyy существенно отличаются от предыдущих версий. Исследователи Positive Technologies изучили алгоритм распаковки этого вредоносного ПО: это поможет лучше атрибутировать[2] активность группы и обнаруживать другие образцы ее инструментов, в том числе с новым набором функций. Так, ключевой части распаковщика предшествует изобилие бесполезных инструкций — к такой технике часто прибегают вирусописатели, чтобы сбить с толку эмуляторы антивирусных продуктов.

TA505 — одна из немногих групп, которые могут похвастаться активной деятельностью на протяжении долгого времени. С 2014 года в их арсенале числятся банковский троян Dridex, ботнет Neutrino, а также целая серия шифровальщиков — Locky, Jaff, GlobeImposter и др. С весны 2018 года группа использует remote access tool — FlawedAmmyy, а с конца прошлого года применяет новый бэкдор ServHelper.

«Обычно группа атакует тех, у кого можно украсть деньги. Однако в последние полгода она стала проявлять интерес к интеллектуальной собственности, которую можно монетизировать, — отсюда новые отрасли в списке мишеней. По совокупности признаков (частоте атак, географическому охвату, разнообразию целей, сложности инструментария) группу TA505 можно назвать наиболее опасной в последние полгода, — отмечает Алексей Новиков, директор экспертного центра безопасности компании Positive Technologies. — В настоящее время мы не фиксируем атак TA505 на российские компании. Но мы знаем, что она использует одну и ту же сетевую инфраструктуру совместно с группой Buhtrap, атакующей российский рынок, и можно предположить, что они сотрудничают или что у них один координатор. Если группа Buhtrap или другие группировки, нацеленные на российский рынок (RTM, Silence), снизят активность, TA505 вполне может занять и это направление».

В 2019 году, кроме финансовых и государственных учреждений, мишенями TA505 стали исследовательские институты, энергетическая промышленность, компании из авиационной сферы, здравоохранения и других отраслей.

Для выявления подобных угроз необходим подход, направленный на лучшее понимание процессов, происходящих в инфраструктуре, а не на усиление ее периметра. Такой подход предполагает глубокий анализ трафика, ретроспективный анализ событий ИБ, профилирование действий пользователей и поддержку высококвалифицированных специалистов в области расследования инцидентов. Все это позволяет значительно сократить время присутствия злоумышленников в инфраструктуре, помешать им достигнуть поставленных целей.

Пресс-служба Positive Technologies

Тема:Безопасность

© 2014. ИТ-Текст. Все права защищены.