Infrastructure d'attaque du groupe cybercriminel TA505
L'activitĂ© du groupe cybercriminel TA505 remonterait Ă au moins 2014. Jusqu'en 2017, son activitĂ© semblait se concentrer sur la distribution de chevaux de Troie bancaires (Dridex, TrickBot) et de rançongiciels (Locky). L'annĂ©e 2018 a marquĂ©e un tournant dans ses mĂ©thodes d'attaques, TA505 distribuant de plus en plus de portes dĂ©robĂ©es et cherchant dĂ©sormais Ă dĂ©ployer le rançongiciel Clop chez des entitĂ©s Ă mĂȘme de payer des rançons de montants Ă©levĂ©s (Big game hunting). De septembre 2019 Ă septembre 2020, le groupe cybercriminel TA505 a menĂ© des campagnes de distribution de l'outil d'administration Ă distance SDBbot, apparemment spĂ©cifique Ă lui. SDBbot est habituellement le prĂ©curseur du dĂ©ploiement du rançongiciel Clop. TA505 est Ă©galement connu pour utiliser TinyMet/Metasploit et CobaltStrike aprĂšs avoir obtenu un accĂšs grĂące Ă SDBbot.
#CYBER #THREATS #TA505 #RANSOMWARE #
đ (PDF) https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-002.pdf
