Une campagne mondiale de ransomware menée par APT Group TA505
Français
Le TA505, un groupe APT russophone, a créé un buzz au début de l’année dernière avec une attaque de ransomware dévastatrice contre l’Université de Maastricht (UM) aux Pays-Bas. Après avoir envisagé toutes les possibilités, la direction de l’Université avait fini par payer 30 Bitcoin (équivalent à 220 000 $ à l’époque) en rançon aux acteurs menaçants. Cependant, depuis lors, le groupe était devenu soumis car aucune autre attaque majeure ne leur était liée. Cela semble avoir changé au cours des deux dernières semaines, car les chercheurs de la société de cybersécurité CYFIRMA ont mis au jour une campagne mondiale de ransomware du groupe TA505 APT surnommée “Sang de la nuit.”
Le TA505 sort du mode furtif
Les chercheurs de CYFIRMA ont observé pour la première fois l’activité de TA505 le 22 mai 2021. Les opérateurs du groupe APT ont publié 96 adresses IP sur un forum de discorde clandestin, qui a été publié les jours précédents sur trois autres forums Web sombres avec des adresses IP supplémentaires. On soupçonne que ces adresses IP pourraient servir de point d’entrée pour les cybercriminels dans les réseaux victimes. Selon les conversations enregistrées sur ces forums, ce gang qui propose Ransomware-as-a-Service (RaaS) et travaille collectivement avec ses affiliés, a adopté une approche à deux volets en fonction des antécédents de la cible pour extorquer une rançon :
- Accédez à un serveur Web accessible au public, puis, dans le cas d’un simple visiteur de site Web sans méfiance, forcez-le à télécharger un plug-in malveillant et à installer le kit d’outils de ransomware.
- Accédez à un serveur Web accessible au public, puis, dans le cas d’une organisation ou d’une entreprise plus importante, installez un logiciel malveillant pour analyser tous les systèmes connectés sur le réseau à l’aide de la faiblesse identifiée, puis installez le kit d’outils de ransomware.
En dehors de cela, ils ont également adopté la technique de la double extorsion, qui consiste à voler les données sensibles de leurs victimes avant de crypter leurs fichiers et dossiers et de laisser une note de ransomware traditionnelle sur le système infecté. Cette stratégie donne le pouvoir de levier aux acteurs de la menace pendant la négociation. Selon l’analyse initiale, les signatures de cette campagne correspondent à un autre groupe de ransomware notoire – le gang REvil.
Cibles potentielles
Les chercheurs de CYFIRMA ont considéré qu’il s’agissait d’une campagne mondiale de ransomware, car le TA505 ciblerait activement des pays comme le Japon, l’Australie, la Corée du Sud, le Royaume-Uni, les États-Unis, l’Inde, la Thaïlande, Singapour, l’Allemagne et l’Espagne. Les industries associées à leurs cibles sont répandues et comprennent la fabrication, l’alimentation et les boissons, la finance, l’immobilier, les assurances, les plateformes de négociation, les magasins de détail et en ligne, l’électronique et les télécommunications, le gouvernement, etc.
Bien que le principal motif de cette campagne du groupe TA505 APT semble être un gain financier, les chercheurs avertissent qu’en raison de l’interdiction du dopage des athlètes russes pour les deux prochains Jeux olympiques, le groupe peut cibler les organisations et les institutions associées à ces jeux de quelque manière que ce soit. Les chercheurs suggèrent également que la campagne « Night Blood » du TA505 semble être en phase de reconnaissance potentielle et que les organisations du monde entier doivent surveiller de près toute activité suspecte.
Nouvelles connexes :
L’université de Maastricht verse 30 Bitcoins en rançon au groupe TA505
Les fabricants de vaccins indiens et les sociétés pharmaceutiques attaqués cette semaine : CYFIRMA Research
