En trouvant divers points communs entre des cyberattaques ayant par exemple touché l'entreprise pharmaceutique Pierre Fabre et le journal Ouest-France, les chercheurs de l'ANSSI sont parvenus à identifier un nouvel acteur dans le monde du ransomware, baptisé « Lockean ».
Après avoir mené d'intenses investigations, l'Agence nationale de la sécurité des systèmes d'information, l'ANSSI, a réussi à identifier le groupe cybercriminel, appelé Lockean, responsable des attaques informatiques menées ces derniers mois contre plusieurs sociétés et groupes. Parmi les cibles, on compte le géant de la logistique français en septembre 2020 GEFCO, les entreprises pharmaceutiques Fareva et Pierre Fabre en décembre 2020 et fin avril 2021, et le journal Ouest-France en novembre 2020. Les chercheurs de l'ANSSI ont trouvé divers points communs entre ces assauts au ransomware. Le cheval de Troie modulaire QakBot (apparu historiquement en 2009), fait partie de ceux-là, ayant été retrouvé comme première charge utile dans plusieurs des incidents que nous venons d'évoquer. Mais ce n'est pas le seul élément qui a mis la puce à l'oreille à l'ANSSI.
QakBot et Cobalt Strike, des outils indispensables aux yeux de ce nouveau groupe
QakBot, utilisé comme première charge utile, présente l'avantage de pouvoir distribuer d'autres charges utiles. Les experts de l'ANSSI se sont ainsi aperçus que l'outil Cobalt Strike était apparu dans au moins cinq incidents communs. Cobalt Strike est considéré comme un outil légitime de post-exploitation qui permet aux pirates d'obtenir une latéralisation (c'est-à-dire de se balader dans le système, depuis son entrée) et une élévation de privilèges.
Les experts ont également vu que sur certains des incidents (GEFCO, Fareva, Pierre Fabre et une autre société dont on ignore l'identité), les noms de domaine des serveurs de commande et de contrôle (C2) associés au fameux Cobalt Strike présentaient une convention de nommage identique. En fait, ils usurpaient purement et simplement des domaines du spécialiste américain de serveurs de cache, Akamai, et de la célèbre plateforme Cloud Microsoft Azure.
Des caractéristiques de configuration communes ont permis d'identifier pas moins de 32 nouveaux serveurs C2 Cobalt Strike. Plusieurs d'entre eux emploient le terme « technology » dans les noms de domaine et reprennent la convention de nommage Akamai et Azure, comme « azuresecure.tech » ou « akamaclouds.tech ». Ces serveurs sont, pour la majorité, hébergés chez les prestataires HostWinds et LeaseWeb, aux États-Unis.
Lockean, affilié à de multiples ransomwares (ProLock, Maze, Egregor, etc.)
L'ANSSI a identifié deux vecteurs d'infection associés au groupe cybercriminel. Outre le loader QakBot, l'agence évoque aussi les courriers d'hameçonnage délivrés par un service de distribution. Ici, il est fort probable que Lockean ait pu utiliser le service de distribution Emotet en 2020 et celui de TA551 en 2020 et 2021, avec un but commun : distribuer le trojan QakBot par courrier d'hameçonnage.
La cyberattaque de Ouest-France fut symbolisée par la percée du ransomware Egregor, avec cette fois comme première charge utile le code malveillant Emotet. Après le démantèlement d'Emotet au début de l'année, Lockean semble avoir privilégié l'utilisation d'un autre service de distribution de QakBot, TA551.
Durant ses investigations, l'ANSSI a identifié plusieurs ransomwares auxquels Lockean a été affilié. Le groupe cybercriminel a ainsi utilisé le rançongiciel Egregor lors des incidents chez Ouest-France et GEFCO. Des traces des ransomwares ProLock et Maze ont aussi été relevées. D'autres RaaS auxquels Lockean a pu s'affilier ont été identifiés, comme DoppelPaymer et Sodinokibi. Le groupe Lockean aurait en fait jonglé entre ces différents ransomwares, au rythme des arrêts définitifs (Maze en novembre 2020) et démantèlement (Egregor en février 2021) de certains d'entre eux.
Un groupe adepte de la double extorsion, qui évite soigneusement (ou presque) d'attaquer les pays de la CEI
Ce qui peut être intéressant aussi, c'est de comprendre comment a fonctionné la chaîne d'infection. L'ANSSI nous explique par exemple avoir compris que le groupe Lockean était un adepte du principe de double extorsion. Cela veut dire qu'il est capable d'exfiltrer les données de ses victimes tout en les menaçant de les divulguer, afin de les pousser à payer la rançon après chiffrement. « Si la rançon est payée, Lockean n’en conservera en moyenne que 70 %, le restant étant destiné aux développeurs des RaaS », détaille l'agence.
L'ANSSI juge le ciblage de Lockean comme étant « opportuniste ». Tout dépend en réalité des services de distribution qu'il emploie, que ce soit Emotet, TA551 ou un autre. « Néanmoins, Lockean a une propension à cibler des entités françaises dans une logique de Big Game Hunting et représente de ce fait une menace à surveiller », nous dit l'agence. Un groupe qui soutient la pratique du Big Game Hunting favorise le ciblage d'entreprises et institutions particulières dans ses attaques par ransomware. On reconnaît ces attaques par leur préparation en amont, qui peut durer durant plusieurs mois.
Le groupe Lockean semble exclure d'attaquer des entités basées dans les pays de la Communauté des États indépendants (CEI), qui comprend notamment la Russie. Cela s'explique par les règles d'engagement affiliées aux ransomwares utilisés. Et pourtant, il s'en est pris à la société de transport et logistique française GEFCO, dont le capital appartient à 75 % aux… chemins de fer russes, ce qui en dit sans doute beaucoup sur les capacités de Lockean.
Source : ANSSI