TA505
Os pesquisadores de malware rastrearam o TA505 por um longo tempo. Este é um grupo criminoso que tem sido responsável por muitas campanhas de malware de alto perfil. O TA505 tem sido responsável pela distribuição de malware, como o Locky e o Dridex em volumes muito altos. Os ataques do TA505 são uma parte significativa do cenário das campanhas de spam por email, e existem inúmeras cargas que foram vinculadas a esse grupo criminoso. Alguns malwares usados nas campanhas do TA505 não são exclusivos desse grupo, embora também tenham sido responsáveis pela criação de novas ferramentas de malware. Algumas das primeiras campanhas de malware em larga escala associadas ao TA505 datam de 2014 com a campanha de Trojan bancário Dridex.
Índice
O TA505 foi Vinculado a uma Infame Campanha de Trojans Bancários do Dridex em 2014
O TA505 lançou uma campanha Dridex, que usou o downloader Lerspeng e outros loaders intermediários em seu ataque logo depois que o Trojan bancário Zeus se tornou inativo. Essas campanhas da Dridex aconteceram durante vários anos e incluíram grandes redes de bots que visavam vítimas na América do Norte, Austrália e Europa. A distribuição do Dridex continuou ao longo de 2017 em volumes muito maiores do que quaisquer outros atores distribuindo ataques Dridex. Uma variedade de técnicas foi usada para fornecer esses ataques, incluindo anexos de e-mail de spam corrompidos com scripts de macro, bem como scripts contidos em arquivos ZIP. Esses ataques também estavam ligados à distribuição do Shifu, ataques de Trojans bancários que tinham como alvo organizações no Reino Unido e no Japão.
O TA505 estava por Trás dos Infames Ataques do Locky Ransomware
O TA505 apresentou o Locky ao cenário do ransomware em fevereiro de 2016. Após vários meses de ataques com o Dridex, o Locky se tornou a carga de malware preferida usada nas campanhas do TA505. O alcance e o volume das campanhas de Locky realizadas pelo TA505 foram extremamente impressionantes, muito maiores do que qualquer coisa vista antes. O Locky também é distribuído através de um modelo de afiliado e o TA505 distribui o Locky Affid=3. O objetivo do Locky Ransomware é levar os arquivos das vítimas como reféns, exigindo um pagamento de resgate para retornar o acesso aos arquivos da vítima. As campanhas do Locky realizadas pelo TA505 aconteceram durante vários anos e continuam sendo copiadas e imitadas hoje. Existem inúmeras outras cargas que foram usadas pelo TA505. Uma outra variedade de ransomware que ganhou notoriedade através do TA505 foi a família de Trojans ransomware da Globe Imposter. Estes eram pequenos na distribuição relativamente até que as campanhas de e-mail de spam lançadas pelo TA505 foram usadas para entregar essa carga útil. Embora o TA505 não tenha inovado muito na criação dessas ameaças, o tamanho de suas campanhas e uma variedade de métodos serviram para popularizar certas cargas úteis sobre outras.
Os Efeitos do TA505 no Cenário de Malware
Embora existam grupos criminosos patrocinados pelo Estado, fica claro que o TA505 é motivado financeiramente. Os lucros potenciais das enormes quantidades de malware que o TA505 é capaz de distribuir são bastante altos, permitindo que esses criminosos desenvolvam infraestruturas massivas. As variantes do Locky continuam sendo o malware de escolha do TA505 atualmente, junto com outras ameaças apresentadas em menor escala. Um aspecto do TA505 que dificulta o combate é o fato de eles usarem um ecossistema robusto que é segmentado horizontalmente, permitindo que os criminosos tenham grande alcance com seus ataques, ao mesmo tempo que dificulta aos pesquisadores de segurança do PC derrubar partes significativas de seus ataques. Operações do TA505 de forma conclusiva. Um aspecto do TA505 que pode ser o método para derrubá-los é sua dependência atual da Necurs Botnet para distribuir seus ataques e o alto volume de mensagens de e-mail de spam que são a espinha dorsal de sua infraestrutura. Rastrear esse botnet e tomar medidas para derrubar seus servidores de Comando e Controle pode ser um aspecto crucial da mitigação dos efeitos e do alcance do TA505.
