Lockean : l’Anssi s’intéresse de près à un groupe d’affilié

Lockean : l’Anssi s’intéresse de près à un groupe d’affilié

Après s’être intéressé dans plusieurs rapports aux groupes de concepteurs de ransomware, l’Anssi met aujourd’hui en lumière un de leurs affidés, baptisé Lockean et actif depuis juin 2020. Selon l’agence, ce groupe serait un suspect potentiel dans plusieurs attaques au ransomware ayant eu lieu sur des organisations françaises au cours des deux dernières années : l’attaque sur Ouest France, celle ayant paralysé Fareva, les attaques sur Gefco et Pierre Fabre ainsi que deux autres sociétés qui n’ont pas été nommées.

Si les attaques ont touché plusieurs entreprises françaises, l’Anssi estime néanmoins que le groupe adopte une approche opportuniste pour choisir ses victimes et ne cible pas spécialement la France. Ces attaques sont attribuées à différents ransomwares, parmi lesquels Egregor, Revil/Sodinokibi ou encore Doppelpaymer, mais l’Anssi estime que les similitudes de méthodes entre les différentes attaques laissent à penser qu’un seul et même groupe opérant pour le compte de plusieurs ransomware as a service aurait pu ici être à la manœuvre.

publicité

Un groupe, plusieurs ransomwares

L’écosystème des ransowmare as a service s’est en effet spécialisé au cours des dernières années, avec des groupes aux spécialités variées qui travaillent ensembles pour infiltrer les réseaux d’entreprise. Si les groupes comme Revil ou Egregor se chargent de concevoir les rançongiciel, ils ont également recours aux services d’autres groupes spécialisés dans l’infiltration du système informatique des victimes, auxquels ils « louent » l’utilisation du rançongiciel. Ces groupes sont généralement designés sous les termes d’affiliés ou d’affidés.

 

C’est le cas de Lockean, qui aurait selon l’Anssi travaillé avec plusieurs groupes de ransomware connus, se chargeant d’infiltrer le réseau des cibles et de compromettre les postes avant de déclencher la charge finale de l’attaque, celle du ransomware. « Ce groupe aurait été affilié depuis sa première observation en juin 2020 à plusieurs RaaS dont Egregor, Sodinokibi, DoppelPaymer et ProLock » resume le rapport de l’Anssi.

Pour identifier cet acteur, l’agence se base sur les similitudes entre les différentes attaques : l’utilisation fréquente de cobalt strike, un outil de test d’intrusion, dans des configurations similaires est ainsi l’une des pistes mises en avant par l’Anssi, tout comme l’utilisation du logiciel malveillant Qakbot, un cheval de Troie modulaire utilisé pour diffuser d’autres logiciels malveillants. Dans ce second cas de figure, des éléments communs de configuration de ce logiciel ont également été identifiés dans les différentes attaques évoquées par l’Anssi. Autant d’éléments qui laissent l’agence penser qu’un seul et même groupe était impliqué dans les différentes attaques. L’agence publie d’ailleurs une liste d’indicateurs de compromission à destination des entreprises qui souhaiteraient les utiliser pour prévenir de futures attaques ou identifier des attaques passées.

L’Anssi détaille au passage le mode opératoire des attaques attribuées au groupe : l’attaque commence par un mail de phishing, généralement diffusé par le biais d’un groupe tiers spécialisé dans l’envoi de mails de ce type à l’instar d’Emotet. Les attaquants utilisent ce mail pour infecter l’ordinateur d’une cible avec le logiciel malveillant Qakbot (ou IcedID dans un cas repéré par The DFIR Report) puis ont ensuite recours à Cobalt Strike, ADFind et BITsAdmin pour progressivement élever leurs privilèges sur le réseau de leur cible et identifier des données intéressantes à récupérer. Les données sont ensuite exfiltrées à l’aide de l’outil Rclone, avant de procéder au chiffrement des systèmes via l’un des rançongiciels partenaires du groupe. Ce partenaire se charge ensuite de négocier les rançons et éventuellement de diffuser les données. Et si une rançon est finalement payée, le groupe Lockean se réserve 70 % du montant, le reste étant reversé aux développeurs du rançongiciel utilisé pendant l’attaque.

Le coup de projo de l’Anssi

Cela faisait plusieurs mois que l’agence n’avait pas publié de nouveaux rapports dans la section Menaces et Incidents du Cert-Fr. Comme l’expliquait Guillaume Poupard à l’occasion des Assises de la sécurité, l’agence se réserve la possibilité de publier ces rapports au rythme qui lui convient : « Notre objectif n’est pas non plus d’alimenter la bibliothèque rose de la threat intelligence. On ne communique pas ces rapports pour le simple plaisir de communiquer, mais on l’utilise de plus en plus pour embêter certains groupes d’attaquants, leur faire comprendre qu’on les a vus. »  L’Anssi se défend néanmoins d’attribuer les attaques à des organisations ou puissances étrangères, un sujet que le directeur de l’agence laisse aux mains des décideurs politiques. Mais, quelles que soient l’origine ou les motivations du groupe Lockean, le message est assez clair : l’Anssi les a à l’oeil.

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading