Το CERT-FR, το Computer Emergency Response Team της Γαλλίας, προειδοποιεί για μια νέα ομάδα ransomware με το όνομα Lockean, η οποία βρίσκεται πίσω από μια σειρά επιθέσεων εναντίον γαλλικών εταιρειών. Οι επιθέσεις διεξάγονται τα τελευταία 2 χρόνια.

Ο κατάλογος των στοχευμένων γαλλικών οργανισμών περιλαμβάνει την εταιρεία logistics Gefco, τις φαρμακευτικές εταιρείες Fareva και Pierre Fabre, και την εφημερίδα Ouest-France.

Δείτε επίσης: Τορόντο: Το σύστημα δημόσιων μεταφορών ανέφερε επίθεση ransomware

Το CERT-FR, τμήμα του National Cybersecurity Agency of France (ANSSI), δημοσίευσε μια λεπτομερή αναφορά για τη δραστηριότητα της ransomware συμμορίας Lockean, που φαίνεται να είναι ενεργή από τον Ιούνιο του 2020.

Με βάση τα περιστατικά που αναφέρθηκαν στο ANSSI και τους συνεργάτες τους, διενεργήθηκαν έρευνες από τον οργανισμό για να επιβεβαιωθεί η ύπαρξη μιας εγκληματικής ομάδας, που είναι υπεύθυνη για αυτά τα περιστατικά και να κατανοηθεί ο τρόπος λειτουργίας της, οι τεχνικές, οι τακτικές και οι διαδικασίες της (TTP)”, αναφέρει η έκθεση που δημοσίευσε το CERT-FR. “Παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2020. Η ομάδα που ονομάζεται Lockean πιστεύεται ότι έχει συνδεθεί με πολλές Ransomware-as-a-Service (RaaS) επιθέσεις“.

Η ransomware ομάδα Lockean έχει την τάση να στοχεύει γαλλικές οντότητες σύμφωνα με τη λογική του Big Game Hunting.

Δείτε επίσης: Ransomware στοχεύουν εταιρείες κατά τη διάρκεια συγχωνεύσεων και εξαγορών

Σχεδόν σε όλες τις επιθέσεις που αποδίδονται στη συμμορία, οι ερευνητές του CERT-FR παρατήρησαν την εμπλοκή του κακόβουλου λογισμικού QakBot και του post-exploitation tool CobaltStrike. Οι χειριστές ransomware διένειμαν το malware μέσω phishing emails.

Η ransomware ομάδα Lockean χρησιμοποίησε πολλά εργαλεία για lateral movement στα δίκτυα των γαλλικών εταιρειών, συμπεριλαμβανομένων των AdFind, BITSAdmin και BloodHound και του RClone utility για την κλοπή δεδομένων.

Η ομάδα Lockean χρησιμοποίησε διαφορετικά στελέχη ransomware τα τελευταία δύο χρόνια, όπως DoppelPaymer, Egregor, Maze, REvil και ProLock.

Δείτε επίσης: Cring ransomware: Συνεχίζει τις επιθέσεις σε βιομηχανικούς οργανισμούς

Λόγω των διαφορετικών ransomware, οι ειδικοί πιστεύουν ότι η ομάδα είναι αυτό που οι ερευνητές ασφαλείας αποκαλούν “ransomware affiliate“, έναν όρο που αναφέρεται σε εγκληματικές ομάδες που εγγράφονται σε πλατφόρμες Ransomware-as-a-Service (RaaS).

Η έκθεση που δημοσιεύτηκε από το CERT-FR παρέχει περαιτέρω τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις.

Πηγή: securityaffairs.co