Huit mois sans alerte sur le fil « Menaces et Incidents » de l’ANSSI… jusqu’à cette semaine. La dernière publication, datée de début mars, concernait Egregor. Il est à nouveau question de ce ransomware, mais en toile de fond à l’identification d’un groupe cybercriminel : Lockean.
Pourquoi ce nom ? C’est celui d’un utilisateur WebDAV. Plus précisément celui employé pour exfiltrer, en novembre 2020, des données du groupe Ouest-France.
L’attaque avait impliqué Egregor. Mais aussi, en guise de première charge utile, le code malveillant QakBot. Trait d’union – parmi d’autres – avec plusieurs incidents enregistrés entre juin 2020 et mars 2021 contre des entreprises françaises. Avec, là aussi, la diffusion de ransomwares. En l’occurrence, DoppelPaymer et Sodinokibi.
La récurrence de QakBot n’est pas le seul élément qui pousse l’ANSSI à attribuer à Lockean l’ensemble de ces attaques. L’agence a aussi repéré des similitudes dans les conventions de nommage (exécutables, fichiers de configuration, noms de domaines…), l’infrastructure de contrôle* ou encore l’exploitation de l’outil Rclone (certificats TLS, bannières HTTP…). Ainsi que dans les techniques de latéralisation (usage de Cobalt Strike, Adfind et BITSadmin).
* Achetés chez Namecheap, les noms de domaines usurpent ceux d’Akamai et d’Azure. Les serveurs se trouvent majoritairement chez HostWinds et LeaseWeb, hébergeurs américains.
Illustration principale © kmls – Adobe Stock
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…