Lockean, un nouveau venu sur le marchĂ© de l’extorsion selon l’ANSII

Date:

  • DELCOURT la bible, le nouveau testament ; l'Ă©vangile selon saint mathieu
  • Signalisation au sol photoluminescente adhĂ©sive en aluminium pour marches - Puissance moyenne
  • Myprotein FR Isolat de protĂ©ine de soja - 2.5kg - Nouveau - Caramel salĂ©
  • Iello Le roi de Tokyo s'est mis en marche (Allemand), Jeu de sociĂ©tĂ©

Dans son rapport de fin Octobre 2021, L’ANSII identifie très clairement un nouveau groupe cybercriminel Lockean, en faisant le lien entre plusieurs incidents qui viennent d’affecter plusieurs groupes français de renommĂ©e mondiale, dont les transports Gefco et le journal Ouest-France.

Depuis des mois et des mois, les experts de l’ANSII, se sont penchĂ©s sur des importants incidents, impliquant des codes malveillants similaires, dont l’un est le fameux QuakBot, et pire ils ont rĂ©ussi aussi Ă  dĂ©terminer, que l’outil d’extraction Ă©tait Rclone, et ce en plus de l’utilisation des mĂŞmes noms de domaines, c’est largement suffisant pour prouver leur malhonnĂŞtetĂ© et leur implication.

Pour la petite histoire, ce mĂŞme groupe Ă©tait sous stricte observation, depuis juin 2020, et plusieurs RaaS, dont Egregor, Sodinokibi, et Prolock avaient dĂ©jĂ  Ă©tĂ© identifiĂ©s; pour les puristes le RaaS est basĂ© sur le principe du SaaS, il permet de manière simplifiĂ©e le dĂ©veloppement et l’Ă©xĂ©cution de certains types de ransomweres.

Le rapport dĂ©taillĂ© de l’ANSII, donne des indications très aisĂ©es, sur les dĂ©marches utilisĂ©es par les hackers, les outils, les adresses IP utilisĂ©es, qui dĂ©montrent les liens entre les attaques et les outils utilisĂ©s pour le faire, les en-tĂŞtes, et des caractĂ©ristiques communes dĂ©nommĂ©es heuristiques, expliquent et dĂ©montrent en identifiant les serveurs utilisĂ©s (usurpĂ©s) qui sont de type Cobalt Strike.

Prolock, Maze, Egregor,  quelques uns des  ransomweres affiliés à Lockean

Quand l’un des ransomweres est identifiĂ© et percĂ©, les hackeurs s’empressent d’en utiliser un autre, c’est ce qui ressort des dernières attaques dĂ©pouillĂ©es et analysĂ©es.

Ouest France, fut au dĂ©part attaquĂ© via le ransomwere Egregor, mais après le dĂ©mantellement de Emotet, Lockean s’empressa d’utiliser un autre outil QuakBot.

Mais comme souvent, le pire n’est jamais certain, et pour mieux cacher leur identitĂ© et leur passage, ils ont aussi utilisĂ© des outils comme Sodinokibi et DoppelPaymer.

Inquiétant Lockean, qui est un adepte de la double extorsion.

L’ANSII, dĂ©montre et prouve que les hackeurs de lockean, sont des adeptes de la double extorsion, ils sont capables d’exfiltrer les donnĂ©es, tout en le menaçant de les divulguer.

Le but final est clair, mĂŞme s’il n’est pas avouĂ©, c’est de forcer le rançonnĂ© Ă  payer après le chiffrement, ensuite le partage qui s’en suit est plus ou moins trouble.

Les hackeurs semblent privilégier des outils comme QakBot et Coblat Strike.

En rĂ©alitĂ© les experts de l’ANSII dĂ©montrent que QakBot est plus utilisĂ© comme une première charge utile, en cachant la distribution d’autres charges utiles, pour mieux tromper.

Quant Ă  Cobalt Strike, qui est apparu dans au moins 5 incidents parmi ceux dernièrement analysĂ©s, c’est plus un outil Post-exploitation, pour mieux latĂ©raliser.

Les conventions de nommage associées au Cobalt Strike, étaient aussi similaires dans plusieurs des incidents, renforçant ainsi les doutes sur les auteurs.

Un autre terme « technology », semble aussi avoir été privilégié par les hackeurs, car il a été repris de nombreuses fois, pour mieux plagier des serveurs hébergés aux USA.

Les chaines d’attaques sont toujours faites sur les mĂŞmes principes

a) Courriel d’hameçonnage

b) distribution du QakBot

c) Latérisation, via Cobalt Strike

d) Exfiltration, souvent via Rclone

e) Chiffrement, via Maze, Egregor ou similaires

f) Publication des données, sur des sites associés

Conclusion, sur les cyberattaques, et le Far West 4.0

N’ouvrez jamais un courrier bizarre ou mal identifiĂ©, c’est souvent la première porte que vous ouvrez pour que les hackeurs vous pĂ©nètrent.

Soyez factuels et prĂ©venants, faites descendre l’information Ă  vos Ă©quipes, une attaque de hackeurs, mal gĂ©rĂ©e est une attaque gagnante.

Le groupe Lockean, ne semblait pas vouloir attaquer les entitĂ©s de la CEI, et pourtant il s’en est pris Ă  la sociĂ©tĂ© GEFCO, qui appartient partiellement Ă  la Russie.

Soyez très vigilents, et n’hĂ©sitez pas Ă  faire remonter toute information qui vous semblerait trouble, car comme le disait cet Ă©tĂ© Alain Conrard PrĂ©sident du METI, la cybercriminalitĂ© est le far West 4.0

Sources, pour faire le présent article :

Auteur Antonio Rodriguez, Directeur Clever Technologies

Antoine
Antoine
Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.
netlinkingnetlinking

Tendance

Voir ausi
Autres sujet

Parcs Immobiliers : les 5 bonnes pratiques Ă  mettre en place

5 bonnes pratiques à mettre en place pour gérer...

Réalisation de tous vos projets avec des spécialistes en Mécano-Soudure

Réaliser vos projets en Mécano-Soudure Les spécialistes en Mécano-Soudure sont...

Qu’est-ce que la mobilitĂ© bancaire ?

Changer de banque est beaucoup plus facile aujourd'hui qu'il...

CrĂ©er son e-commerce, comment s’y prendre ?

De nos jours, de plus en plus de personnes...