Dans son rapport de fin Octobre 2021, L’ANSII identifie très clairement un nouveau groupe cybercriminel Lockean, en faisant le lien entre plusieurs incidents qui viennent d’affecter plusieurs groupes français de renommée mondiale, dont les transports Gefco et le journal Ouest-France.

Depuis des mois et des mois, les experts de l’ANSII, se sont penchés sur des importants incidents, impliquant des codes malveillants similaires, dont l’un est le fameux QuakBot, et pire ils ont réussi aussi à déterminer, que l’outil d’extraction était Rclone, et ce en plus de l’utilisation des mêmes noms de domaines, c’est largement suffisant pour prouver leur malhonnêteté et leur implication.

Pour la petite histoire, ce même groupe était sous stricte observation, depuis juin 2020, et plusieurs RaaS, dont Egregor, Sodinokibi, et Prolock avaient déjà été identifiés; pour les puristes le RaaS est basé sur le principe du SaaS, il permet de manière simplifiée le développement et l’éxécution de certains types de ransomweres.

Le rapport détaillé de l’ANSII, donne des indications très aisées, sur les démarches utilisées par les hackers, les outils, les adresses IP utilisées, qui démontrent les liens entre les attaques et les outils utilisés pour le faire, les en-têtes, et des caractéristiques communes dénommées heuristiques, expliquent et démontrent en identifiant les serveurs utilisés (usurpés) qui sont de type Cobalt Strike.

Prolock, Maze, Egregor,  quelques uns des  ransomweres affiliés à Lockean

Quand l’un des ransomweres est identifié et percé, les hackeurs s’empressent d’en utiliser un autre, c’est ce qui ressort des dernières attaques dépouillées et analysées.

Ouest France, fut au départ attaqué via le ransomwere Egregor, mais après le démantellement de Emotet, Lockean s’empressa d’utiliser un autre outil QuakBot.

Mais comme souvent, le pire n’est jamais certain, et pour mieux cacher leur identité et leur passage, ils ont aussi utilisé des outils comme Sodinokibi et DoppelPaymer.

Inquiétant Lockean, qui est un adepte de la double extorsion.

L’ANSII, démontre et prouve que les hackeurs de lockean, sont des adeptes de la double extorsion, ils sont capables d’exfiltrer les données, tout en le menaçant de les divulguer.

Le but final est clair, même s’il n’est pas avoué, c’est de forcer le rançonné à payer après le chiffrement, ensuite le partage qui s’en suit est plus ou moins trouble.

Les hackeurs semblent privilégier des outils comme QakBot et Coblat Strike.

En réalité les experts de l’ANSII démontrent que QakBot est plus utilisé comme une première charge utile, en cachant la distribution d’autres charges utiles, pour mieux tromper.

Quant à Cobalt Strike, qui est apparu dans au moins 5 incidents parmi ceux dernièrement analysés, c’est plus un outil Post-exploitation, pour mieux latéraliser.

Les conventions de nommage associées au Cobalt Strike, étaient aussi similaires dans plusieurs des incidents, renforçant ainsi les doutes sur les auteurs.

Un autre terme « technology », semble aussi avoir été privilégié par les hackeurs, car il a été repris de nombreuses fois, pour mieux plagier des serveurs hébergés aux USA.

Les chaines d’attaques sont toujours faites sur les mêmes principes

a) Courriel d’hameçonnage

b) distribution du QakBot

c) Latérisation, via Cobalt Strike

d) Exfiltration, souvent via Rclone

e) Chiffrement, via Maze, Egregor ou similaires

f) Publication des données, sur des sites associés

Conclusion, sur les cyberattaques, et le Far West 4.0

N’ouvrez jamais un courrier bizarre ou mal identifié, c’est souvent la première porte que vous ouvrez pour que les hackeurs vous pénètrent.

Soyez factuels et prévenants, faites descendre l’information à vos équipes, une attaque de hackeurs, mal gérée est une attaque gagnante.

Le groupe Lockean, ne semblait pas vouloir attaquer les entités de la CEI, et pourtant il s’en est pris à la société GEFCO, qui appartient partiellement à la Russie.

Soyez très vigilents, et n’hésitez pas à faire remonter toute information qui vous semblerait trouble, car comme le disait cet été Alain Conrard Président du METI, la cybercriminalité est le far West 4.0

Sources, pour faire le présent article :

• https://www.ssi.gouv.fr/
• https://www.clubic.com/

Auteur Antonio Rodriguez, Directeur Clever Technologies