Cybersécurité : un nouveau groupe de pirates cible la France avec des ransomwares

08 novembre 2021 à 15h35
7
Comment se prémunir et se débarrasser d’un ransomware ?

En trouvant divers points communs entre des cyberattaques ayant par exemple touché l'entreprise pharmaceutique Pierre Fabre et le journal Ouest-France, les chercheurs de l'ANSSI sont parvenus à identifier un nouvel acteur dans le monde du ransomware , baptisé « Lockean ».

Après avoir mené d'intenses investigations, l'Agence nationale de la sécurité des systèmes d'information, l'ANSSI, a réussi à identifier le groupe cybercriminel, appelé Lockean, responsable des attaques informatiques menées ces derniers mois contre plusieurs sociétés et groupes. Parmi les cibles, on compte le géant de la logistique français en septembre 2020 GEFCO, les entreprises pharmaceutiques Fareva et Pierre Fabre en décembre 2020 et fin avril 2021, et le journal Ouest-France en novembre 2020. Les chercheurs de l'ANSSI ont trouvé divers points communs entre ces assauts au ransomware. Le cheval de Troie modulaire QakBot (apparu historiquement en 2009), fait partie de ceux-là, ayant été retrouvé comme première charge utile dans plusieurs des incidents que nous venons d'évoquer. Mais ce n'est pas le seul élément qui a mis la puce à l'oreille à l'ANSSI.

QakBot et Cobalt Strike, des outils indispensables aux yeux de ce nouveau groupe

QakBot, utilisé comme première charge utile, présente l'avantage de pouvoir distribuer d'autres charges utiles. Les experts de l'ANSSI se sont ainsi aperçus que l'outil Cobalt Strike était apparu dans au moins cinq incidents communs. Cobalt Strike est considéré comme un outil légitime de post-exploitation qui permet aux pirates d'obtenir une latéralisation (c'est-à-dire de se balader dans le système, depuis son entrée) et une élévation de privilèges.

Les experts ont également vu que sur certains des incidents (GEFCO, Fareva, Pierre Fabre et une autre société dont on ignore l'identité), les noms de domaine des serveurs de commande et de contrôle (C2) associés au fameux Cobalt Strike présentaient une convention de nommage identique. En fait, ils usurpaient purement et simplement des domaines du spécialiste américain de serveurs de cache, Akamai, et de la célèbre plateforme Cloud Microsoft Azure.

Des caractéristiques de configuration communes ont permis d'identifier pas moins de 32 nouveaux serveurs C2 Cobalt Strike. Plusieurs d'entre eux emploient le terme « technology » dans les noms de domaine et reprennent la convention de nommage Akamai et Azure, comme « azuresecure.tech » ou « akamaclouds.tech ». Ces serveurs sont, pour la majorité, hébergés chez les prestataires HostWinds et LeaseWeb, aux États-Unis.

Lockean, affilié à de multiples ransomwares (ProLock, Maze, Egregor, etc.)

L'ANSSI a identifié deux vecteurs d'infection associés au groupe cybercriminel. Outre le loader QakBot, l'agence évoque aussi les courriers d'hameçonnage délivrés par un service de distribution. Ici, il est fort probable que Lockean ait pu utiliser le service de distribution Emotet en 2020 et celui de TA551 en 2020 et 2021, avec un but commun : distribuer le trojan QakBot par courrier d'hameçonnage.

La cyberattaque de Ouest-France fut symbolisée par la percée du ransomware Egregor, avec cette fois comme première charge utile le code malveillant Emotet. Après le démantèlement d'Emotet au début de l'année, Lockean semble avoir privilégié l'utilisation d'un autre service de distribution de QakBot, TA551.

Durant ses investigations, l'ANSSI a identifié plusieurs ransomwares auxquels Lockean a été affilié. Le groupe cybercriminel a ainsi utilisé le rançongiciel Egregor lors des incidents chez Ouest-France et GEFCO. Des traces des ransomwares ProLock et Maze ont aussi été relevées. D'autres RaaS auxquels Lockean a pu s'affilier ont été identifiés, comme DoppelPaymer et Sodinokibi. Le groupe Lockean aurait en fait jonglé entre ces différents ransomwares, au rythme des arrêts définitifs (Maze en novembre 2020) et démantèlement (Egregor en février 2021) de certains d'entre eux.

Un groupe adepte de la double extorsion, qui évite soigneusement (ou presque) d'attaquer les pays de la CEI

Ce qui peut être intéressant aussi, c'est de comprendre comment a fonctionné la chaîne d'infection. L'ANSSI nous explique par exemple avoir compris que le groupe Lockean était un adepte du principe de double extorsion. Cela veut dire qu'il est capable d'exfiltrer les données de ses victimes tout en les menaçant de les divulguer, afin de les pousser à payer la rançon après chiffrement. « Si la rançon est payée, Lockean n’en conservera en moyenne que 70 %, le restant étant destiné aux développeurs des RaaS », détaille l'agence.

chaîne d'infection Lockean © ANSSI
© ANSSI

L'ANSSI juge le ciblage de Lockean comme étant « opportuniste ». Tout dépend en réalité des services de distribution qu'il emploie, que ce soit Emotet, TA551 ou un autre. « Néanmoins, Lockean a une propension à cibler des entités françaises dans une logique de Big Game Hunting et représente de ce fait une menace à surveiller », nous dit l'agence. Un groupe qui soutient la pratique du Big Game Hunting favorise le ciblage d'entreprises et institutions particulières dans ses attaques par ransomware. On reconnaît ces attaques par leur préparation en amont, qui peut durer durant plusieurs mois.

Le groupe Lockean semble exclure d'attaquer des entités basées dans les pays de la Communauté des États indépendants (CEI), qui comprend notamment la Russie. Cela s'explique par les règles d'engagement affiliées aux ransomwares utilisés. Et pourtant, il s'en est pris à la société de transport et logistique française GEFCO, dont le capital appartient à 75 % aux… chemins de fer russes, ce qui en dit sans doute beaucoup sur les capacités de Lockean.

Source : ANSSI

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
7
Keepah
Une raison de plus pour passer à Linux.
Winston
Dans chaque alerte sur les piratages on trouve à tous les coups toujours les mêmes accusés ,aujourd’hui c’est la Russie.
juju251
Keepah:<br /> Une raison de plus pour passer à Linux.<br /> Mauvaise réponse :<br /> Les ransomwares existent aussi sous Linux :<br /> Exemple parmi d’autres<br /> Winston:<br /> Dans chaque alerte sur les piratages on trouve à tous les coups toujours les mêmes accusés ,aujourd’hui c’est la Russie.<br /> C’est ton interprétation.
bmustang
des groupes qui discutent qu’avec des groupes ?
Winston
juju251:<br /> C’est ton interprétation.<br /> C’est un constat.
carinae
C’est pas faux… comme dirait quelqu’un <br /> Déjà a la belle époque du piratage on les retrouvait souvent. Je ne sais pas trop comment on doit interpréter cette vocation pour le piratage
ti4444
Kaspersky… C’est comme la poule ou l’oeuf
Voir tous les messages sur le forum

Lectures liées

120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO
VPN : CyberGhost, Surfshark ou NordVPN ? La sélection à lire pour faire votre choix !
La suite de cybersécurité Avast Ultimate à prix bas : l'idéal pour une protection complète et efficace
Peut-on interdire les mots de passe par défaut ? C'est ce que veut le gouvernement britannique
L'excellent antivirus optimisé Mac en promo : pourquoi Intego est un service indispensable ?
Surfshark VPN fait encore chuter ses tarifs, un service VPN performant à ne pas manquer !
Plusieurs montres connectées pour enfants présentent d’importants risques de sécurité
CyberGhost n'arrête plus de casser ses prix, faut-il craquer pour ce VPN au top ?
Plus de 150 000 cartes bancaires françaises trouvées en vente sur le dark web
Bitdefender poursuit les promos, un antivirus complet pour une protection efficace et abordable
Haut de page