Entre 2020 et 2021, plusieurs grands groupes français ont été victimes de ransomwares. Parmi eux, on peut citer Gefco et Ouest-France, victimes d’Egregor, mais aussi Pierre Fabre via Sodinokibi (aka Revil) et un autre groupe pharmaceutique Fareva tombé sous les coups de DoppelPaymer. Point commun de l’ensemble de ces groupes, il propose du RaaS (ransomware as a service) à des affiliés. Un de ces affiliés vient d’être percé au grand jour par le CERT.fr de l’Anssi sous l’appellation Lockean. Dans le document, il cite deux victimes supplémentaires sans les nommer en évoquant simplement un acteur du monde manufacturier (en juin 2020) et une société de service (en février 2021).
L’agence constate des similitudes dans les différentes attaques avec une convention de nommage identique pour la charge utile Qakbot et l’usage de l’outil Cobalt Strike. Des rapprochements ont pu être faits aussi sur la convention de nommage des serveurs de commande et contrôle (EC2) en usurpant des domaines d’Akamai et d’Azure. Enfin dans trois incidents (Pierre Fabre, Gefco et Ouest-France), l’outil d’exfiltration Rclone a été utilisé.
Un chasseur de grandes entreprises
L’Anssi détaille ensuite ces différents points communs. Pour elle, un même groupe d’attaquants pourrait être à l’origine des six incidents signalés et il aurait été affilié depuis son observation en juin 2020 à plusieurs ransomwares : Egregor, Sodinokibi, DoppelPaymer et ProLock. Sur un graphique (ci-dessous), l’agence a pu retracer un historique des différentes attaques, ainsi que les vecteurs d’attaques (phishing, diffusion du trojan bancaire Emotet, bot TA551,…)
Dans sa conclusion, l’Anssi indique que le ciblage de Lockean est opportuniste et dépendant des services de distribution qu’il emploie. Par contre, ce groupe constitue une menace à surveiller avec une propension à cibler les entreprises françaises. Par ailleurs, l’agence constate que Lockean fonctionne dans un logique dite de « Big Game Hunting », c’est-à-dire un ciblage de grandes entreprises capables de payer des rançons. Pour mémoire, l’affilié garde 70% de la somme et reverse le reste aux RaaS.