Grupo TA505

Quem é o TA505?

O TA505 é um grupo de crime cibernético prolífico e financeiramente motivado, ativo desde 2014 e um participante significativo no cenário global do crime cibernético. O TA505 assumiu muitas funções diferentes, inclusive como operador de ransomware como serviço (RaaS) e como afiliado de outros operadores de RaaS de ponta, como corretor de acesso inicial (IAB) e como cliente de outros IABs que vendem acesso a redes corporativas comprometidas e como grande operador de botnet para fraudes financeiras e ataques de phishing.

O TA505 é considerado um dos maiores, se não o maior, distribuidor de phishing e malspam em todo o mundo e estima-se que tenha comprometido mais de 3.000 organizações sediadas nos EUA e 8.000 organizações globais.

O TA505 usa um conjunto sofisticado e em constante mudança de táticas, técnicas e procedimentos (TTP) na tentativa de superar o cenário de segurança cibernética em evolução com explorações novas e indetectáveis. De 2014 a 2018, a principal estratégia de ataque do TA505 era usar botnets Dridex para operar campanhas de roubo de informações e visar o setor financeiro usando credenciais roubadas. No entanto, desde 2018, o TA505 mudou seu foco para visar universidades, hospitais e empresas de manufatura com ransomware como seu principal modus operandi e infectar seletivamente as vítimas com malware de mineração de criptomoedas.

Últimas notícias sobre o TA505

Táticas, técnicas e procedimentos (TTP) do TA505

O TTP de ataque do TA505 e o uso de kits de ferramentas de malware evoluíram significativamente durante sua vida útil. O grupo é conhecido por orquestrar ataques usando uma grande variedade de cargas úteis de malware populares, como Dridex, Trickbot e Locky, bem como ferramentas integradas do Windows e malware personalizado exclusivo do TA505. O TA505 também é conhecido por um ciclo de vida de ataque cibernético de longo prazo; eles permanecerão na rede de um alvo realizando reconhecimento por semanas - até meses - enquanto evitam a detecção para identificar o alvo de maior valor possível.

Cepas de malware usadas pelo TA505

Dridex (também conhecido como Bugat, Cridex): um sequestrador de informações e trojan com recursos sofisticados de botnet O Dridex foi uma das primeiras linhagens de malware muito utilizadas pelo TA505

Trickbot: uma sofisticada ferramenta de ataque multiuso usada pela primeira vez pelo TA505 em 2017

FlawedGrace (também conhecido como Gracewire): um trojan de acesso remoto (RAT) usado quase exclusivamente pelo TA505 desde 2018

FlawedAmmyy: um malware de segundo estágio que estabelece uma conexão com os servidores de comando e controle (C2) remotos do TA505 que podem importar ferramentas de ataque adicionais

Snatch: um infostealer que extrai dados confidenciais, como credenciais de login e dados pessoais

SDBbot: um malware de shimming de aplicativo que injeta código malicioso em um processo padrão sempre que um sistema infectado é inicializado

ServHelper: um malware RAT predominante com recursos de primeiro e segundo estágios usados pelo TA505 entre novembro de 2018 e meados de 2019

TinyMet: um malware RAT com funcionalidade adicional para excluir registros do sistema e eliminar vestígios de uma infecção por malware

TeslaGun: uma ferramenta GUI para gerenciar o malware ServHelper que obtém a CPU, a GPU, a RAM e a velocidade de conexão com a Internet do host infectado e lança o malware de mineração de criptografia nas vítimas adequadas

Get2 (também conhecido como Friendspeak): um aplicativo de rede social usado pelo TA505 para phishing e disseminação de infecções por malware para aumentar as operações de botnet zumbi

Quant Loader: um downloader simples de segundo estágio comumente distribuído em sites da dark web e usado pelo TA505 desde 2018

Marap: um downloader de segundo estágio um tanto sofisticado que evita a detecção e mantém a persistência

Andromut (também conhecido como Gelup): um downloader específico para Android com ofuscação antianálise usado exclusivamente pelo TA505 em 2019

Remote Manipulator System (RMS ou RmanSyS): uma ferramenta legítima de administração de sistemas desenvolvida pela empresa russa TEKTONIT, em uso pelo TA505 de novembro de 2018 a junho de 2019

FlowerPippi: um sistema de reconhecimento de primeiro estágio, downloader e RAT simples

MineDoor: um malware que tem como alvo os servidores que executam os servidores do popular jogo Minecraft e usa os servidores infectados para minerar criptomoedas

Outros TTP de ataque do TA505 incluem:

  • Comprometimento das conexões RDP (Remote Desktop Protocol) com redes corporativas
  • Utilização de uma estratégia de ataque "Living Off The Land" (LOTL) que utiliza ferramentas e comandos do sistema Windows pré-instalados existentes
  • Aproveitamento de ferramentas legítimas de teste de penetração e acesso remoto, como o Cobalt Strike
  • Uso de botnets Dridex, Necurs e Amadey para automatizar transações financeiras fraudulentas e para distribuição de phishing e malspam
  • Migração de servidores proxy C2 dentro e entre data centers para aumentar a prevenção de detecção
  • Usando um grande número de linhagens distintas de ransomware, incluindo Locky, Bart, Jaff, Scarab, Philadelphia, GlobeImposter, GandCrab e Clop (que é exclusivamente desenvolvido e usado pelo TA505)
  • Operar como um corretor intermediário na venda e compra de acesso inicial a redes corporativas como operador e afiliado de RaaS
  • Assinatura digital de seu malware usando chaves privadas roubadas de fornecedores de software legítimos e decodificação de binários de software na memória para evitar a detecção por produtos de segurança de endpoint
  • Usar vulnerabilidades conhecidas do Active Directory e do SMB para se mover lateralmente na rede da vítima
  • Instalação de web shells PHP em sites comprometidos para manter o controle remoto e usar o site infectado para espalhar documentos e links maliciosos
  • Detecção e desativação de ferramentas de segurança de TI, incluindo Malwarebytes, Webroot, Panda Security, ESET, Kaspersky, AppCheck, Windows Defender e Microsoft Security Essentials
  • Falsificação de ferramentas padrão de compartilhamento de arquivos on-line, como DropBox, OneDrive e Google Drive
  • Exibição de gráficos falsos de varredura de malware para incutir uma falsa sensação de segurança nas vítimas

Sinais de um ataque de TA505

Os pesquisadores de malware divulgaram muitas assinaturas de malware conhecidas, domínios de comando e controle (C2) e endereços IP, além de táticas de ataque associadas ao TA505. No entanto, o TA505 conseguiu ajustar rapidamente suas TTPs, seu kit de ferramentas ofensivas e sua infraestrutura, tornando os IOCs publicados ineficazes para a defesa confiável de um ambiente de TI. O TA505 também usou ocasionalmente TTPs mais antigas, portanto, as organizações devem desenvolver uma abordagem de defesa em profundidade para gerenciar seu risco de segurança cibernética.

Como evitar um ataque do TA505

  • Implementar ferramentas modernas de gerenciamento de identidade e acesso (IAM)
  • Instalar e configurar produtos avançados de segurança de endpoint em todos os endpoints para detectar indicadores de comprometimento (IOC) e tomar medidas defensivas para impedir a execução de cargas úteis da Trickbot.
  • Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos 
  • Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
  • Implemente uma forte segurança de rede, incluindo privilégios mínimos, segmentação de serviços essenciais, controles de acesso baseados em funções, autenticação multifatorial e defesa em profundidade para reduzir os possíveis danos causados por credenciais roubadas. 
  • Segmente as redes e adicione NIPS e NIDS para monitorar a atividade da rede em busca de comportamentos anômalos
  • Proteja todos os endpoints, inclusive as estações de trabalho e os servidores dos funcionários, desativando as atividades e permissões de linha de comando e de script e os serviços não necessários para reduzir o potencial de ataques do tipo LOTL (living off the land)
  • Implemente uma estratégia de backup confiável com backups off-line bem protegidos e pratique procedimentos de recuperação de desastres para garantir que as metas de tempo médio de recuperação (MTTR) possam ser atingidas

CylanceOPTICS Evita ataques de ransomware

OCylanceOPTICS® fornece detecção e correção de ameaças no dispositivo usando inteligência artificial (IA) para evitar incidentes de segurança com análise de causa raiz, busca inteligente de ameaças e recursos automatizados de detecção e resposta. Nossa abordagem de EDR (Endpoint Detection and Response) elimina efetivamente a latência de resposta. Isso pode ser a diferença entre um pequeno incidente de segurança e um evento generalizado e sem controle.
Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos