Le groupe Cybercriminel TA505

Le groupe TA505 (Threat Actor n° 505) doit son nom aux équipes de l’éditeur de sécurité Proofpoint, qui ont été les premiers à l’identifier et analyser son activité depuis 2014.

Au début de ses activités, le groupe cybercriminel est connu pour la distribution des chevaux de Troie bancaire (Dridex, TrickBot) et de rançongiciels (Locky).

Son activité a su évoluer et gagner en compétences au fil des années. En 2018, le groupe change son mode d’attaque en diminuant la distribution de codes malveillants bancaires et rançongiciels pour passer à la distribution des portes dérobées pour déployer le programme malveillant Clop en échange des rançons d’un montant élevé pour ses victimes. En Octobre 2020, une rançon de 20 millions de dollars a été demandé au groupe Allemand “Software AG” pour l’obtention de la clé de déchiffrement.

Le groupe TA505 a réalisé des campagnes de distribution de l’outil d’administration à distance SDBbot entre septembre 2019 et septembre 2020.

Le TA505 est connu aussi pour l’utilisation des outils et logiciels tiers tels que  «TinyMet/Metasploit» et «CobaltStrike» après avoir obtenu  des accès au réseau grâce à SDBbot RAT (Remote Access Trojan).

Une liste d’IOC utilisés par le malware est disponible à la fin de ce lien.

Pour note :

–   Dridex : est un logiciel malveillant de type cheval de Troie bancaire, Il cible en particulier les données bancaires notamment les identifiants, mots de passe et codes secrets (claviers virtuels ou code sms).

–   TrickBot : est un trojan bancaire apparu en 2016 pour voler les informations bancaires. Ensuite, il a évolué et est capable de voler des données sur le système et le réseau, des identifiants de connexion à des comptes de messagerie électronique. Il est aussi utilisé comme un botnet pour se propager à d’autres victimes via des campagnes de phishing pour distribuer des pièces jointes malveillantes.

–   Locky : est un rançongiciel qui fait son apparition en 2016. Il a fait de nombreuses  victimes, étant notamment propagé via des attaques de phishing l’incluant sous la forme d’une pièce jointe.

–   SDBbot : est un logiciel malveillant exploité par le groupe cybercriminel TA505 pour déployer des programmes indésirables.

Pour plus d’informations :

https://cyberveille-sante.gouv.fr/cyberveille/1891-anssi-publication-dun-rapport-et-dindicateurs-de-compromission-sur-le-groupe

https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-002/


[InfoCommercial] Besoin de vérifier que votre parc de PC Windows est bien préparé pour faire face aux attaques de rançongiciels modernes ? Nous proposons de réaliser un stress-test aux ransomwares sur un échantillon : 80 points techniques et organisationnels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.