Threat Actor 505 (TA505) est un groupe cybercriminel, actif depuis 2014. Il mène des campagnes d’hameçonnage, qui sont depuis 2019, régulièrement suivies d’actions de chiffrement par rançongiciel.
Un précédent rapport publié par l’ANSSI en 2020, CERTFR-2020-CTI-006, fournit une synthèse de la connaissance acquise sur ce groupe cybercriminel.
Ce nouveau rapport détaille l’infrastructure utilisée par TA505 lors des campagnes de distribution des implants Get2 et SDBbot depuis 2019. Il contient également des indicateurs de compromission et des méthodes de détection visant à mieux se protéger contre les attaques de ce groupe cybercriminel. Ces indicateurs sont disponibles dans plusieurs formats structurés sur la page CERTFR-2021-IOC-001.