Le rançongiciel Egregor (18 décembre 2020)
Version anglaise : 🇬🇧 Actif depuis septembre 2020, le rançongiciel Egregor est actuellement mis en œuvre dans le cadre d’opérations dites de Big Game Hunting. Issu de la famille de codes malveillant Sekhmet, Egregor est parfois considéré comme le successeur de Maze. Il est mis à disposition de…
Évolution de l’activité du groupe cybercriminel TA505 (22 juin 2020)
Threat actor 505 (TA505) a été identifié en 2016 comme le mode opératoire associé à l’emploi du code malveillant FlawedAmmyy. Pourtant, TA505 serait actif depuis 2014, époque à laquelle il volait exclusivement des informations financières à des entreprises par l’intermédiaire de Dridex….
[MaJ] Le rançongiciel Ryuk (30 novembre 2020)
[Mise à jour du 26 février 2021] Version anglaise : 🇬🇧 Une variante du rançongiciel Ryuk disposant de capacités de propagation automatique au sein des réseaux qu’il infecte, a été découverte au cours de récents incidents. Des informations complémentaires sur cette variante et des conseils pour…
État de la menace rançongiciels à l’encontre des entreprises et institutions (05 février 2021)
La tendance à la hausse des attaques par rançongiciels à l’encontre d’organisations publiques et privées, identifiée depuis 2018, s’est à nouveau confirmée en 2020, tant à l’échelle nationale qu’internationale. En 2020, l’ANSSI note ainsi une augmentation de 255% des signalements d’attaque par…
🇬🇧 The Egregor Ransomware (02 mars 2021)
French version: 🇫🇷 Active since September 2020, the Egregor ransomware is currently being used in Big Game Hunting operations. Part of the Sekhmet malware family, Egregor is sometimes considered the successor to Maze. It is made available to various affiliates, explaining the different chains of…
🇬🇧 The Ryuk Ransomware (26 février 2021)
French version: 🇫🇷 First observed in August 2018, the Ryuk ransomware has since been used in Big Game Hunting operations. It is characterized by the use of different infection chains and the extreme speed of the Bazar-Ryuk chain, as well as the absence of a dedicated leak site. A Ryuk…
Campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon (15 février 2021)
Version anglaise : 🇬🇧 L’ANSSI a été informée d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne ciblait le logiciel de supervision Centreon, édité par la société du même nom. Les premières compromissions identifiées par l’ANSSI datent de fin 2017 et se…
🇬🇧 Sandworm intrusion set campaign targeting Centreon systems (15 février 2021)
French version: 🇫🇷 ANSSI has been informed of an intrusion campaign targeting the monitoring software Centreon distributed by the French company CENTREON which resulted in the breach of several French entities. The first victim seems to have been compromised from late 2017. The campaign…
🇬🇧 The Malware-as-a-Service Emotet (12 février 2021)
French version: 🇫🇷 First spotted in 2014 as a banking Trojan, Emotet evolved towards a modular structure. Since 2017, this Malware-as-a-Service has been distributing, within networks it infects, malicious codes operated by others cybercriminals who are customers of TA542. Currently, Emotet…
Infrastructure d’attaque du groupe cybercriminel TA505 (10 février 2021)
Threat Actor 505 (TA505) est un groupe cybercriminel, actif depuis 2014. Il mène des campagnes d’hameçonnage, qui sont depuis 2019, régulièrement suivies d’actions de chiffrement par rançongiciel. Un précédent rapport publié par l’ANSSI en 2020, CERTFR-2020-CTI-006, fournit une synthèse de la…