Los investigadores de Proofpoint han publicado los resultados de una investigación en la que han identificado a un grupo de ciberdelincuentes que tiene como objetivo los sectores de la aviación, aeroespacial, transporte, manufacturación y defensa.
Activo desde 2017, el grupo, denominado TA2541 por Proofpoint, ha estado utilizando de forma continuada tácticas, técnicas y procedimientos (TTP) similares durante todo este tiempo, y consideran que es crucial que las organizaciones de estas industrias sean conscientes de las mismas para así poder detener posibles ataques.
La principal característica de este grupo de ciberdelincuentes es que usa sistemáticamente troyanos de acceso remoto (RAT) para controlar los dispositivos y máquinas comprometidos a distancia. Cuando Proofpoint empezó a rastrearlo, enviaban archivos Word adjuntos con macros que descargaban el payload que contenía el troyano. Sin embargo, actualmente suelen optar por enviar mensajes con enlaces a servicios cloud, como Google Drive, donde alojan el payload.
"Lo que llama la atención de TA2541 es lo poco que han cambiado su enfoque del cibercrimen en los últimos cinco años, utilizando repetidamente los mismos temas, a menudo relacionados con la aviación, la industria aeroespacial y el transporte, para distribuir troyanos de acceso remoto”, explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de Proofpoint. “Este grupo es una amenaza persistente para objetivos en toda la industria del transporte, la logística y los viajes”.
Algo que les diferencia de otros ciberdelincuentes que distribuyen malware es que no utilizan noticias recientes o temas de actualidad como ganchos para engañar a los usuarios, sino que, en casi todas las campañas observadas, utilizan temas relacionados con sus sectores objetivo, incluyendo a menudo términos como transporte, vuelo, avión, combustible o yate. Aun así, durante la primavera de 2020 sí que utilizaron temas relacionados con el COVID, pero siempre en relación con sus temáticas habituales, como por ejemplo el envío de equipos de protección personal (EPP) o kits para hacer pruebas.
Aunque su actividad es continua y persistente desde enero del 2017, es raro que envíen más de 10.000 mensajes al mismo tiempo. Sus campañas afectan a cientos de organizaciones en todo el mundo, sobre todo en Norteamérica, Europa y Oriente Próximo. Proofpoint prevé que este grupo de ciberdelincuentes va a seguir utilizando los mismos TTPs y va a seguir enfocándose en los mismos objetivos, con cambios mínimos en sus temáticas y en sus formas de distribución e instalación del troyano.
Puedes consultar todos los detalles técnicos de esta amenaza aquí.
