Lockean : pourquoi l'ANSSI pointe ce groupe cybercriminel

L’ANSSI attire l’attention sur un groupe cybercriminel qu’elle a baptisé Lockean. Lui sont attribuées plusieurs attaques survenues en France entre juin 2020 et mars 2021.

Huit mois sans alerte sur le fil « Menaces et Incidents » de l’ANSSI… jusqu’à cette semaine. La dernière publication, datée de début mars, concernait Egregor. Il est à nouveau question de ce ransomware, mais en toile de fond à l’identification d’un groupe cybercriminel : Lockean.

Pourquoi ce nom ? C’est celui d’un utilisateur WebDAV. Plus précisément celui employé pour exfiltrer, en novembre 2020, des données du groupe Ouest-France.
L’attaque avait impliqué Egregor. Mais aussi, en guise de première charge utile, le code malveillant QakBot. Trait d’union – parmi d’autres – avec plusieurs incidents enregistrés entre juin 2020 et mars 2021 contre des entreprises françaises. Avec, là aussi, la diffusion de ransomwares. En l’occurrence, DoppelPaymer et Sodinokibi.

cartographie incidents — (cliquer pour agrandir)

La récurrence de QakBot n’est pas le seul élément qui pousse l’ANSSI à attribuer à Lockean l’ensemble de ces attaques. L’agence a aussi repéré des similitudes dans les conventions de nommage (exécutables, fichiers de configuration, noms de domaines…), l’infrastructure de contrôle* ou encore l’exploitation de l’outil Rclone (certificats TLS, bannières HTTP…). Ainsi que dans les techniques de latéralisation (usage de Cobalt Strike, Adfind et BITSadmin).

* Achetés chez Namecheap, les noms de domaines usurpent ceux d’Akamai et d’Azure. Les serveurs se trouvent majoritairement chez HostWinds et LeaseWeb, hébergeurs américains.

Lire aussi : Russie-Ukraine : Joe Biden redoute une cyberattaque d’ampleur