[ANSSI] Publication d’un rapport et d’indicateurs de compromission sur le groupe cybercriminel TA505

L’ANSSI a récemment publié un rapport ainsi que des indicateurs de compromission en rapport avec le groupe TA505. Celui-ci serait actif depuis 2014, date à laquelle il volait exclusivement des informations financières à des entreprises par l’intermédiaire de Dridex. En 2016, TA505 a été identifié comme étant le groupe associé à l’emploi du code malveillant FlawedAmmyy. Actuellement, TA505 réalise des campagnes d’hameçonnage à l’encontre d’entreprises afin de revendre les accès obtenus ou les données récupérées. TA505 peut également chiffrer les données de la cible afin d’exiger une rançon.

Le rapport proposé par l’ANSSI fournit une synthèse de la connaissance acquise sur ce groupe avec des détails sur leur code et leurs opérateurs. 

Les marqueurs techniques ou indicateurs de compromission peuvent être utilisés dans le cadre de recherche dans des journaux historiques ou de détection. Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute.

Le rapport est disponible ici. Les indicateurs de compromission sont disponibles ici.