Multiples vulnérabilités dans Microsoft Exchange (27 août 2021)
Dans son bulletin d’actualité CERTFR-2021-ACT-035 du 12 août 2021 [[1]](http://suite%20à%20la%20publication%20d’une%20technique%20permettant%20de%20prendre%20le%20contrôle%20d’un%20serveur%20Microsoft%20Exchange), le CERT-FR revenait sur la publication d’une technique permettant de prendre le…
Évolution de l’activité du groupe cybercriminel TA505 (22 juin 2020)
Threat actor 505 (TA505) a été identifié en 2016 comme le mode opératoire associé à l’emploi du code malveillant FlawedAmmyy. Pourtant, TA505 serait actif depuis 2014, époque à laquelle il volait exclusivement des informations financières à des entreprises par l’intermédiaire de Dridex….
🇬🇧 The malware Dridex: origins and uses (17 juillet 2020)
French version: 🇫🇷 Surfacing in June 2014 as a variant of the banking trojan Bugat, Dridex is a malware which has evolved a lot since then in terms of functionalities and uses. This report provides a synthesis of ANSSI’s knowledge on Dridex and its operators to help increasing protections…
🇬🇧 Development of the activity of the TA505 cybercriminal group (21 septembre 2020)
French version: 🇫🇷 The intrusion set TA505 has been active since at least 2014 when it initially stole financial information through the use of Dridex and mass distributed ransomwares. It evolved and now conducts phishing campaigns against a wide range of businesses. Its goal is now to…
Le malware-as-a-service Emotet (02 novembre 2020)
Version anglaise : 🇬🇧 Observé pour la première fois en 2014 en tant que cheval de Troie bancaire, Emotet a évolué vers une structure modulaire à partir de 2015. Depuis 2017, Emotet distribue, au sein des systèmes d’information qu’il infecte, des codes malveillants opérés par des groupes…
[MaJ] Le rançongiciel Ryuk (30 novembre 2020)
[Mise à jour du 26 février 2021] Version anglaise : 🇬🇧 Une variante du rançongiciel Ryuk disposant de capacités de propagation automatique au sein des réseaux qu’il infecte, a été découverte au cours de récents incidents. Des informations complémentaires sur cette variante et des conseils pour…
Le rançongiciel Egregor (18 décembre 2020)
Version anglaise : 🇬🇧 Actif depuis septembre 2020, le rançongiciel Egregor est actuellement mis en œuvre dans le cadre d’opérations dites de Big Game Hunting. Issu de la famille de codes malveillant Sekhmet, Egregor est parfois considéré comme le successeur de Maze. Il est mis à disposition de…
Le code malveillant Dridex : origines et usages (23 décembre 2020)
Version anglaise : 🇬🇧 Dridex est un code malveillant apparu en juin 2014 qui a connu de nombreuses évolutions dans ses fonctionnalités comme dans ses usages. Le rapport suivant fournit une synthèse de la connaissance acquise par l’ANSSI sur ce code et ses opérateurs afin d’aider à s’en…
🇫🇷/🇬🇧 Le rançongiciel Egregor (18 décembre 2020)
🇬🇧 The following indicators of compromise are associated with the Egregor ransomware described in the CERTFR-2021-CTI-007 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic. 🇫🇷 Les marqueurs techniques suivants sont associés…
Infrastructure d’attaque du groupe cybercriminel TA505 (10 février 2021)
Les marqueurs techniques suivants sont associés à l’infrastructure d’attaque utilisée par le groupe cybercriminel TA505 depuis 2019 (voir la publication CERTFR-2021-CTI-002). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection temps…