De Dridex à CLOP, l’évolution du groupe TA505 passé au crible par l’Anssi

Passé des chevaux de Troie bancaires aux rançongiciels, le groupe connu sous le nom de TA505 multiplie les outils et les collaborations avec d’autres groupes cybercriminels depuis 2014. L’Anssi se penche sur le mode opératoire du groupe dans un nouveau rapport.

Le groupe TA505 (Threat actor 505, ndlr) doit son nom aux équipes de Proofpoint, qui ont été les premières à identifier et analyser l’activité de ce groupe très actif depuis 2014 dans un rapport publié en 2017. Depuis, on peut suivre l’activité de TA505, qui a su évoluer et gagner en compétence au fil des années pour poursuivre ses activités criminelles en ligne.

La première partie du rapport se concentre sur l’activité du groupe TA505 dans la période allant de 2014 à 2018. L’Anssi estime en effet que « jusqu’en 2017, son activité semble se concentrer sur la distribution de chevaux de Troie bancaires et de rançongiciels ». Et en la matière, TA505 joue avec des logiciels malveillants bien connus : le groupe est ainsi l’un des premiers à avoir distribué le malware bancaire Dridex, dès juillet 2014. Cette utilisation prématurée de Dridex a conduit certains analystes à penser que TA505 était à l’origine du malware Dridex (et nous avions également relayé cette erreur), mais l’Anssi considère le groupe comme des « affiliés » du botnet Dridex, probablement proches du groupe Evil Corp, qui opère le botnet.

Outre Dridex, TA505 s’est aussi illustré en 2016 en diffusant massivement le rançongiciel Locky. Mais là aussi, TA505 est un simple affilié, rappelle l’Anssi, qui reprend ici à son compte les conclusions de Proofpoint. Le groupe emploie d’ailleurs d’autres souches de ransomwares dans plusieurs autres campagnes.

Source : De Dridex à CLOP, l’évolution du groupe TA505 passé au crible par l’Anssi