El grupo cibercriminal TA505 extiende su alcance a nuevas industrias y países
- Endpoint
Con ataques a docenas de objetivos de 64 países en seis meses, TA505 ahora amenaza no solo a las compañías financieras, sino a institutos de investigación y empresas de energía, aviación, salud y otros sectores. La detección de tales amenazas requiere un enfoque de defensa en profundidad.
El Centro de Seguridad Experto de Positive Technologies ha detectado un aumento en la actividad del grupo cibercriminal TA505. En los últimos seis meses, TA505 ha intensificado sus ataques, los cuales han alcanzado al menos a 26 empresas. Positive ha detectado actividad del grupo en 64 países, el cual ha aumentado sus recursos e incorporado técnicas y procedimientos más sofisticados para lograr un mayor sigilo. Los objetivos incluyen algunas de las principales empresas de finanzas, industria, transporte y públicas del Reino Unido, Canadá, Estados Unidos y Corea del Sur, entre otros países.
TA505 es uno de los pocos grupos cibercriminales de largo recorrido que se mantienen activos. Desde 2014, su arsenal ha incluido el troyano bancario Dridex, la botnet Neutrino y ransomware como Locky, Jaff y GlobeImposter. El grupo ha utilizado la herramienta de acceso remoto FlawedAmmyy desde 2018 y, desde finales del año pasado, la nueva puerta trasera ServHelper.
El grupo utiliza correos electrónicos de phishing para penetrar en las redes de sus víctimas. Cada nueva ola de ataques refleja cambios cualitativos en el conjunto de herramientas del grupo. Los nuevos cargadores FlawedAmmyy presentados en junio de 2019 difieren significativamente de las versiones anteriores. Los investigadores de Positive Technologies estudiaron el algoritmo de desempaquetado utilizado por este malware, cuya parte principal está precedida por una gran cantidad de instrucciones basura, un truco frecuente de los autores de malware para confundir los emuladores utilizados en los productos antivirus.
Alexey Novikov, director del Centro de Seguridad Experto de Positive Technologies, afirma que, "por lo general, el grupo ataca donde cree que pueden robar dinero. Pero recientemente han comenzado a considerar la propiedad intelectual que se puede monetizar. Esto explica las nuevas industrias en su punto de mira. Si observamos todos los indicadores juntos (frecuencia de ataques, alcance geográfico, diversidad de objetivos, sofisticación de las técnicas), podemos decir que TA505 es el grupo cibercriminal más peligroso visto en los últimos seis meses".
Además de las finanzas y el gobierno, los objetivos de TA505 en 2019 han incluido institutos de investigación y empresas de los sectores de energía, aviación, atención médica y otros. La detección de tales amenazas requiere un enfoque de defensa en profundidad en sintonía con los procesos que ocurren dentro de la infraestructura, en lugar de simplemente reforzar el perímetro. Los componentes de este enfoque incluyen análisis de tráfico profundo, análisis retrospectivo de eventos de seguridad, perfiles de comportamiento del usuario e investigación de incidentes.
