Lockean : pourquoi l'ANSSI pointe ce groupe cybercriminel

Huit mois sans alerte sur le fil « Menaces et Incidents » de l'ANSSI. jusqu'à cette semaine. La dernière publication, datée de début mars, concernait Egregor. Il est à nouveau question de ce ransomware, mais en toile de fond à l'identification d'un groupe cybercriminel : Lockean.

Pourquoi ce nom ? C'est celui d'un utilisateur WebDAV. Plus précisément celui employé pour exfiltrer, en novembre 2020, des données du groupe Ouest-France.
L'attaque avait impliqué Egregor. Mais aussi, en guise de première charge utile, le code malveillant QakBot. Trait d'union - parmi d'autres - avec plusieurs incidents enregistrés entre juin 2020 et mars 2021 contre des entreprises françaises. Avec, là aussi, la diffusion de ransomwares. En l'occurrence, DoppelPaymer et Sodinokibi.

La récurrence de QakBot n'est pas le seul élément qui pousse l'ANSSI à attribuer à Lockean l'ensemble de ces attaques. L'agence a aussi repéré des similitudes dans les conventions de nommage (exécutables, fichiers de configuration, noms de domaines.), l'infrastructure de contrôle* ou encore l'exploitation de l'outil Rclone (certificats TLS, bannières HTTP.). Ainsi que dans les techniques de latéralisation (usage de Cobalt Strike, Adfind et BITSadmin).

* Achetés chez Namecheap, les noms de domaines usurpent ceux d'Akamai et d'Azure. Les serveurs se trouvent majoritairement chez HostWinds et LeaseWeb, hébergeurs américains.

Illustration principale © kmls - Adobe Stock