Grupo TA505

TA505 es un prolífico grupo de ciberdelincuentes con motivaciones financieras activo desde 2014 y un actor importante en el panorama mundial de la ciberdelincuencia. TA505 ha asumido muchas funciones diferentes, entre ellas la de operador de ransomware como servicio (RaaS) y afiliado de otros operadores RaaS de primer nivel, la de intermediario de acceso inicial (IAB) y cliente de otros IAB que venden acceso a redes corporativas comprometidas, y la de gran operador de botnets para fraudes financieros y ataques de phishing.

TA505 está considerado uno de los mayores distribuidores de phishing y malspam del mundo, si no el mayor, y se calcula que ha puesto en peligro a más de 3.000 organizaciones estadounidenses y 8.000 internacionales.

TA505 utiliza un sofisticado y cambiante conjunto de tácticas, técnicas y procedimientos (TTP) en su intento de superar el cambiante panorama de la ciberseguridad con exploits novedosos e indetectables. Desde 2014 hasta 2018, la principal estrategia de ataque de TA505 fue utilizar redes de bots Dridex para operar campañas de robo de información y dirigirse al sector financiero utilizando credenciales robadas. Sin embargo, desde 2018 TA505 ha cambiado su enfoque para dirigirse a universidades, hospitales y empresas manufactureras con ransomware como su principal modus operandi e infectando selectivamente a las víctimas con malware de minería de criptomonedas.

Dridex (alias Bugat, Cridex): un troyano y ladrón de información con sofisticadas capacidades de botnet Dridex fue una de las primeras cepas de malware muy utilizadas por TA505

Trickbot: una sofisticada herramienta de ataque polivalente utilizada por primera vez por TA505 en 2017.

FlawedGrace (AKA Gracewire): un troyano de acceso remoto (RAT) utilizado casi exclusivamente por TA505 desde 2018.

FlawedAmmyy: un malware de segunda fase que establece una conexión con los servidores remotos de mando y control (C2) de TA505 que pueden importar herramientas de ataque adicionales.

Snatch: un infostealer que exfiltra datos sensibles como credenciales de acceso y datos personales.

SDBbot: malware que inyecta código malicioso en un proceso estándar cada vez que se inicia un sistema infectado.

ServHelper: un malware RAT prevalente con capacidades de primera y segunda fase utilizado por TA505 entre noviembre de 2018 y mediados de 2019.

TinyMet: un malware RAT con funcionalidad adicional para borrar los registros del sistema y eliminar los rastros de una infección de malware.

TeslaGun: una herramienta GUI para gestionar el malware ServHelper que obtiene la CPU, GPU, RAM y velocidad de conexión a Internet del host infectado y lanza malware de minería de criptomonedas en las víctimas adecuadas.

Get2 (alias Friendspeak): aplicación de redes sociales utilizada por TA505 para suplantar identidades y propagar infecciones de malware con el fin de hacer crecer las operaciones de la botnet zombi.

Quant Loader: un simple descargador de segunda etapa distribuido comúnmente en sitios web oscuros y utilizado por TA505 desde 2018.

Marap: un descargador de segunda etapa algo sofisticado que evita la detección y mantiene la persistencia.

Andromut (alias Gelup): un descargador específico para Android con ofuscación antianálisis utilizado exclusivamente por TA505 en 2019

Remote Manipulator System (RMS o RmanSyS): una herramienta legítima de administración de sistemas desarrollada por la empresa rusa TEKTONIT, en uso por TA505 desde noviembre de 2018 hasta junio de 2019.

FlowerPippi: una primera fase de reconocimiento del sistema, descargador y RAT simple

MineDoor: un programa malicioso dirigido a los servidores que ejecutan el popular juego Minecraft y que utiliza los servidores infectados para minar criptomonedas.

Entre los TTP de ataque TA505 adicionales se incluyen:

• Comprometer las conexiones del Protocolo de Escritorio Remoto (RDP) a redes corporativas.
• Utilización de una estrategia de ataque "Living Off The Land" (LOTL) que utiliza las herramientas y comandos preinstalados del sistema Windows.
• Aprovechamiento de herramientas legítimas de pen-testing y acceso remoto como Cobalt Strike.
• Uso de las redes de bots Dridex, Necurs y Amadey para automatizar transacciones financieras fraudulentas y para la distribución de phishing y malspam.
• Migración de servidores proxy C2 dentro de los centros de datos y entre ellos para evitar una mayor detección.
• Utiliza un gran número de cepas distintas de ransomware, como Locky, Bart, Jaff, Scarab, Philadelphia, GlobeImposter, GandCrab y Clop (desarrollada y utilizada exclusivamente por TA505).
• Operar como intermediario tanto en la venta como en la compra de acceso inicial a redes corporativas como operador de RaaS y como afiliado.
• Firmar digitalmente sus programas maliciosos utilizando claves privadas robadas a proveedores de software legítimos y descodificar los binarios de software en la memoria para evitar su detección por parte de los productos de seguridad para puntos finales.
• Utilización de vulnerabilidades conocidas de Active Directory y SMB para desplazarse lateralmente por la red de la víctima.
• Instalar web shells PHP en sitios web comprometidos para mantener el control remoto y utilizar el sitio infectado para difundir documentos y enlaces maliciosos.
• Detección y desactivación de herramientas de seguridad informática, como Malwarebytes, Webroot, Panda Security, ESET, Kaspersky, AppCheck, Windows Defender y Microsoft Security Essentials.
• Hacerse pasar por herramientas estándar para compartir archivos en línea, como DropBox, OneDrive y Google Drive.
• Mostrar gráficos falsos de análisis de malware para infundir una falsa sensación de seguridad en las víctimas.

• Implantar herramientas modernas de gestión de identidades y accesos (IAM)
• Instalar y configurar productos avanzados de seguridad de puntos finales en todos los puntos finales para detectar indicadores de compromiso (IOC) y tomar medidas defensivas para bloquear la ejecución de las cargas útiles de Trickbot.
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos. 
• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Implantar una seguridad de red sólida que incluya los privilegios mínimos, la segmentación de los servicios críticos, los controles de acceso basados en funciones, la autenticación multifactor y la defensa en profundidad para reducir el daño potencial de las credenciales robadas. 
• Segmente las redes y añada NIPS y NIDS para supervisar la actividad de la red en busca de comportamientos anómalos.
• Endurezca todos los puntos finales, incluidas las estaciones de trabajo y los servidores de los empleados, deshabilitando las actividades y los permisos de la línea de comandos y scripts, así como los servicios no requeridos, para reducir la posibilidad de que se produzcan ataques del tipo "vivir del cuento" (LOTL).
• Implantar una estrategia de copia de seguridad fiable con copias de seguridad offline bien protegidas y poner en práctica procedimientos de recuperación en caso de catástrofe para garantizar el cumplimiento de los objetivos de tiempo medio de recuperación (MTTR).