Το CERT-FR, το Computer Emergency Response Team της Γαλλίας, προειδοποιεί για μια νέα ομάδα ransomware με το όνομα Lockean, η οποία βρίσκεται πίσω από μια σειρά επιθέσεων εναντίον γαλλικών εταιρειών. Οι επιθέσεις διεξάγονται τα τελευταία 2 χρόνια.
Ο κατάλογος των στοχευμένων γαλλικών οργανισμών περιλαμβάνει την εταιρεία logistics Gefco, τις φαρμακευτικές εταιρείες Fareva και Pierre Fabre, και την εφημερίδα Ouest-France.
Δείτε επίσης: Τορόντο: Το σύστημα δημόσιων μεταφορών ανέφερε επίθεση ransomware
Το CERT-FR, τμήμα του National Cybersecurity Agency of France (ANSSI), δημοσίευσε μια λεπτομερή αναφορά για τη δραστηριότητα της ransomware συμμορίας Lockean, που φαίνεται να είναι ενεργή από τον Ιούνιο του 2020.
Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών
Neuralink: Έγκριση FDA για επαναστατική συσκευή Blindsight
Ανακάλυψη: Μαύρη τρύπα σκοτώνει το γαλαξία της
“Με βάση τα περιστατικά που αναφέρθηκαν στο ANSSI και τους συνεργάτες τους, διενεργήθηκαν έρευνες από τον οργανισμό για να επιβεβαιωθεί η ύπαρξη μιας εγκληματικής ομάδας, που είναι υπεύθυνη για αυτά τα περιστατικά και να κατανοηθεί ο τρόπος λειτουργίας της, οι τεχνικές, οι τακτικές και οι διαδικασίες της (TTP)”, αναφέρει η έκθεση που δημοσίευσε το CERT-FR. “Παρατηρήθηκε για πρώτη φορά τον Ιούνιο του 2020. Η ομάδα που ονομάζεται Lockean πιστεύεται ότι έχει συνδεθεί με πολλές Ransomware-as-a-Service (RaaS) επιθέσεις“.
Η ransomware ομάδα Lockean έχει την τάση να στοχεύει γαλλικές οντότητες σύμφωνα με τη λογική του Big Game Hunting.
Δείτε επίσης: Ransomware στοχεύουν εταιρείες κατά τη διάρκεια συγχωνεύσεων και εξαγορών
Σχεδόν σε όλες τις επιθέσεις που αποδίδονται στη συμμορία, οι ερευνητές του CERT-FR παρατήρησαν την εμπλοκή του κακόβουλου λογισμικού QakBot και του post-exploitation tool CobaltStrike. Οι χειριστές ransomware διένειμαν το malware μέσω phishing emails.
Η ransomware ομάδα Lockean χρησιμοποίησε πολλά εργαλεία για lateral movement στα δίκτυα των γαλλικών εταιρειών, συμπεριλαμβανομένων των AdFind, BITSAdmin και BloodHound και του RClone utility για την κλοπή δεδομένων.
Η ομάδα Lockean χρησιμοποίησε διαφορετικά στελέχη ransomware τα τελευταία δύο χρόνια, όπως DoppelPaymer, Egregor, Maze, REvil και ProLock.
Δείτε επίσης: Cring ransomware: Συνεχίζει τις επιθέσεις σε βιομηχανικούς οργανισμούς
Λόγω των διαφορετικών ransomware, οι ειδικοί πιστεύουν ότι η ομάδα είναι αυτό που οι ερευνητές ασφαλείας αποκαλούν “ransomware affiliate“, έναν όρο που αναφέρεται σε εγκληματικές ομάδες που εγγράφονται σε πλατφόρμες Ransomware-as-a-Service (RaaS).
Η έκθεση που δημοσιεύτηκε από το CERT-FR παρέχει περαιτέρω τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις.
Πηγή: securityaffairs.co