L'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié un rapport sur un nouveau groupe cybercriminel intitulé Lockean. Il est soupçonné d’être à la tête de plusieurs attaques sur six entreprises dont Gefco, spécialisée dans la logistique industrielle, Pierre Fabre, groupe pharmaceutique et dermocosmétique, et Ouest France.

Des cyberattaques similaires ont mis la puce à l’oreille de l’Anssi

Après plusieurs mois d’investigations, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT) de l'Anssi a réussi à identifier le groupe Lockean. Dans son document, le service dédié à la sécurité et à la défense des systèmes d’information a mis en lumière le mode opératoire du groupe.

Depuis juin 2020, le groupe aurait réalisé plusieurs attaques aux ransomwares auprès de six sociétés. Ces cyberagressions sont attribuées à différents Ransomware-as-a-Service (RaaS) comme Egregor, REvil ou encore Doppelpaymayer. Toutefois, l’Anssi estime que les similitudes quant aux méthodes utilisées laissent penser qu’un seul et même groupe opère pour le compte de plusieurs RaaS.

Liste des ransomware utilisés par les groupes cybercriminels

Activité connue de Lockean comparée à la période d'activité des ransomwares. Capture d'écran : Anssi.

L’utilisation fréquente de Cobalt Strike, un outil de test d’intrusion, dans des configurations similaires, est ainsi l’une des pistes mises en avant par l’Anssi, tout comme l’utilisation du logiciel malveillant Qakbot, un cheval de Troie modulaire utilisé pour diffuser d’autres logiciels malveillants.

Quel est le mode opératoire de Lockean ?

Le gendarme français de la cybersécurité estime que le groupe adopte une approche opportuniste pour choisir ses victimes et ne cible pas spécialement la France. Lockean est dans une logique de “Big Game Hunting” : il mène des attaques ciblées à travers des méthodes proches de l’espionnage informatique étatique.

Le mode opératoire des attaques attribuées au groupe a été détaillé par l’Anssi. L’attaque commence par la création d’un e-mail de phishing. Il est généralement diffusé par le biais d’un groupe tiers spécialisé dans l’envoi de courriers de ce type, à l’instar d’Emotet. Les cybercriminelListe des ransomware utilisés par les groupes cybercriminelss utilisent cet e-mail pour infecter l’ordinateur d’une cible avec le logiciel malveillant Qakbot puis ont recours à Cobalt Strike pour, progressivement, prendre le contrôle du réseau de leur cible et identifier des données intéressantes à récupérer.

Les données sont ensuite exfiltrées à l’aide de l’outil Rclone, avant de procéder au chiffrement des systèmes via l’un des ransomwares partenaires du groupe. Ce collaborateur se charge ensuite de négocier les rançons, et éventuellement de diffuser les données. Et si une rançon est finalement payée, le groupe Lockean se réserve 70 % du montant, le reste étant reversé aux développeurs du rançongiciel utilisé pendant l’attaque.

Grâce à son travail d’investigation, l’Anssi espère que les entreprises pourront mieux se prémunir des potentielles prochaines attaques de Lockean.