Lockean : pourquoi l’ANSSI pointe ce groupe cybercriminel
![Lockean France](https://www.silicon.fr/wp-content/uploads/2021/11/Lockean-France-684x513.jpeg)
L’ANSSI attire l’attention sur un groupe cybercriminel qu’elle a baptisé Lockean. Lui sont attribuées plusieurs attaques survenues en France entre juin 2020 et mars 2021.
Huit mois sans alerte sur le fil « Menaces et Incidents » de l’ANSSI… jusqu’à cette semaine. La dernière publication, datée de début mars, concernait Egregor. Il est à nouveau question de ce ransomware, mais en toile de fond à l’identification d’un groupe cybercriminel : Lockean.
Pourquoi ce nom ? C’est celui d’un utilisateur WebDAV. Plus précisément celui employé pour exfiltrer, en novembre 2020, des données du groupe Ouest-France.
L’attaque avait impliqué Egregor. Mais aussi, en guise de première charge utile, le code malveillant QakBot. Trait d’union – parmi d’autres – avec plusieurs incidents enregistrés entre juin 2020 et mars 2021 contre des entreprises françaises. Avec, là aussi, la diffusion de ransomwares. En l’occurrence, DoppelPaymer et Sodinokibi.
![cartographie incidents cartographie incidents](https://www.silicon.fr/wp-content/uploads/2021/11/cartographie-incidents.jpg)
La récurrence de QakBot n’est pas le seul élément qui pousse l’ANSSI à attribuer à Lockean l’ensemble de ces attaques. L’agence a aussi repéré des similitudes dans les conventions de nommage (exécutables, fichiers de configuration, noms de domaines…), l’infrastructure de contrôle* ou encore l’exploitation de l’outil Rclone (certificats TLS, bannières HTTP…). Ainsi que dans les techniques de latéralisation (usage de Cobalt Strike, Adfind et BITSadmin).
* Achetés chez Namecheap, les noms de domaines usurpent ceux d’Akamai et d’Azure. Les serveurs se trouvent majoritairement chez HostWinds et LeaseWeb, hébergeurs américains.
Illustration principale © kmls – Adobe Stock