Threat actor 505 (TA505) a été identifié en 2016 comme le mode opératoire associé à l’emploi du code malveillant FlawedAmmyy. Pourtant, TA505 serait actif depuis 2014, époque à laquelle il volait exclusivement des informations financières à des entreprises par l’intermédiaire de Dridex. Actuellement, TA505 réalise des campagnes d’hameçonnage à l’encontre d’entreprises afin de revendre les accès obtenus ou les données récupérées. TA505 peut également chiffrer les données de la cible afin d’exiger une rançon.

Le rapport suivant fournit une synthèse de la connaissance acquise par l'ANSSI sur ce code et ses opérateurs afin d'aider à s'en protéger.

Des indicateurs de compromission sont disponibles sur la page CERTFR-2020-IOC-004.

Mise à jour du 10 février 2021 : un nouveau rapport détaillant l'infrastructure d'attaque des campagnes récentes de ce groupe cybercriminel est disponible sur la page CERTFR-2021-CTI-002. Les indicateurs de compromission associés sont disponibles sur la page CERTFR-2021-IOC-001.

 

TÉLÉCHARGER LE RAPPORT