Les marqueurs techniques suivants sont associés en source ouverte au groupe d’attaquants TA2101 utilisant le rançongiciel Maze (voir la publication CERTFR-2020-CTI-001). Ils sont fournis au format d’export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette infrastructure réseau est utilisée depuis novembre 2019 et est active à ce jour. Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute.

TÉLÉCHARGER LES MARQUEURS (JSON MISP)

Ces indicateurs sont contextualisés au sein de la modélisation de cette menace au format STIX 2.0, compatible avec l’outil de capitalisation de connaissance OpenCTI.

TÉLÉCHARGER LA MODÉLISATION (JSON STIX 2.0)