Los investigadores de Proofpoint han publicado los resultados de una investigacin en la que han identificado a un grupo de ciberdelincuentes que tiene como objetivo los sectores de la aviacin, aeroespacial, transporte, manufacturacin y defensa.
Activo desde 2017, el grupo, denominado TA2541 por Proofpoint, ha estado utilizando de forma continuada tcticas, tcnicas y procedimientos (TTP) similares durante todo este tiempo, y consideran que es crucial que las organizaciones de estas industrias sean conscientes de las mismas para as poder detener posibles ataques.
La principal caracterstica de este grupo de ciberdelincuentes es que usa sistemticamente troyanos de remoto (RAT) para controlar los dispositivos y mquinas comprometidos a distancia. Cuando Proofpoint empez a rastrearlo, enviaban archivos Word adjuntos con macros que descargaban el payload que contena el troyano. Sin embargo, actualmente suelen optar por enviar mensajes con enlaces a servicios cloud, como Google Drive, donde alojan el payload.
"Lo que llama la atencin de TA2541 es lo poco que han cambiado su enfoque del cibercrimen en los ltimos cinco aos, utilizando repetidamente los mismos temas, a menudo relacionados con la aviacin, la industria aeroespacial y el transporte, para distribuir troyanos de remoto, explica Sherrod DeGrippo, vicepresidenta de Investigacin y Deteccin de Amenazas de Proofpoint. Este grupo es una amenaza persistente para objetivos en toda la industria del transporte, la logstica y los viajes.
Algo que les diferencia de otros ciberdelincuentes que distribuyen malware es que no utilizan noticias recientes o temas de actualidad como ganchos para engaar a los s, sino que, en casi todas las campaas observadas, utilizan temas relacionados con sus sectores objetivo, incluyendo a menudo trminos como transporte, vuelo, avin, combustible o yate. Aun as, durante la primavera de 2020 s que utilizaron temas relacionados con el COVID, pero siempre en relacin con sus temticas habituales, como por ejemplo el envo de equipos de proteccin personal (EPP) o kits para hacer pruebas.
Aunque su actividad es continua y persistente desde enero del 2017, es raro que enven ms de 10.000 mensajes al mismo tiempo. Sus campaas afectan a cientos de organizaciones en todo el mundo, sobre todo en Norteamrica, Europa y Oriente Prximo. Proofpoint prev que este grupo de ciberdelincuentes va a seguir utilizando los mismos TTPs y va a seguir enfocndose en los mismos objetivos, con cambios mnimos en sus temticas y en sus formas de distribucin e instalacin del troyano.
Puedes consultar todos los detalles tcnicos de esta amenaza aqu.
