Huit mois sans alerte sur le fil « Menaces et Incidents » de l’ANSSI… jusqu’à cette semaine. La dernière publication, datée de début mars, concernait Egregor. Il est à nouveau question de ce ransomware, mais en toile de fond à l’identification d’un groupe cybercriminel : Lockean.
Pourquoi ce nom ? C’est celui d’un utilisateur WebDAV. Plus précisément celui employé pour exfiltrer, en novembre 2020, des données du groupe Ouest-France.
L’attaque avait impliqué Egregor. Mais aussi, en guise de première charge utile, le code malveillant QakBot. Trait d’union – parmi d’autres – avec plusieurs incidents enregistrés entre juin 2020 et mars 2021 contre des entreprises françaises. Avec, là aussi, la diffusion de ransomwares. En l’occurrence, DoppelPaymer et Sodinokibi.
La récurrence de QakBot n’est pas le seul élément qui pousse l’ANSSI à attribuer à Lockean l’ensemble de ces attaques. L’agence a aussi repéré des similitudes dans les conventions de nommage (exécutables, fichiers de configuration, noms de domaines…), l’infrastructure de contrôle* ou encore l’exploitation de l’outil Rclone (certificats TLS, bannières HTTP…). Ainsi que dans les techniques de latéralisation (usage de Cobalt Strike, Adfind et BITSadmin).
* Achetés chez Namecheap, les noms de domaines usurpent ceux d’Akamai et d’Azure. Les serveurs se trouvent majoritairement chez HostWinds et LeaseWeb, hébergeurs américains.
Illustration principale © kmls – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…