Cybersäkerhet: en ny grupp hackare riktar sig mot Frankrike med ransomware

Genom att hitta olika likheter mellan cyberattacker som drabbade till exempel läkemedelsföretaget Pierre Fabre och tidningen Västra FrankrikeANSSI-forskare har lyckats identifiera en ny aktör i världen av ransomwaredöpt till “Lockean”.

Efter att ha genomfört intensiva undersökningar har National Information Systems Security Agency, ANSSI, lyckats identifiera den cyberkriminella gruppen, kallad Lockean, ansvarig för de datattacker som genomförts de senaste månaderna mot flera företag och grupper. Bland målen finns den franska logistikjätten i september 2020 GEFCO, läkemedelsföretagen Fareva och Pierre Fabre i december 2020 och slutet av april 2021 samt tidningen Västra Frankrike i november 2020. ANSSI-forskare hittade olika likheter mellan dessa ransomware-attacker. Den modulära QakBot-trojanen (som dök upp historiskt 2009) är en av dem, efter att ha hittats som den första nyttolasten i flera av de incidenter vi just har nämnt. Men detta är inte det enda elementet som har larmat ANSSI.

QakBot och Cobalt Strike, viktiga verktyg i denna nya grupps ögon

QakBot, som används som första nyttolast, har fördelen av att kunna distribuera andra nyttolaster. ANSSI-experterna noterade således att Cobalt Strike-verktyget hade förekommit i minst fem vanliga incidenter. Cobalt Strike anses vara ett legitimt verktyg efter exploateringen som tillåter angripare att få lateralisering (dvs. gå runt systemet, från dess ingång) och höjning av privilegier.

Experterna såg också att vid några av incidenterna (GEFCO, Fareva, Pierre Fabre och ett annat företag vars identitet är okänd) visade domännamnen på kommando- och kontrollservrarna (C2) som var associerade med den ökända Cobalt Strike en identisk namnkonvention. Faktum är att de helt enkelt tillskansat sig domäner från den amerikanska cacheserverspecialisten Akamai och den berömda molnplattformen Microsoft Azure.

Gemensamma konfigurationsegenskaper har identifierat inte mindre än 32 nya C2 Cobalt Strike-servrar. Många av dem använder termen teknologi i domännamn och använd Akamai och Azures namnkonventioner, som “azuresecure.tech” eller “akamaclouds.tech”. Dessa servrar är till största delen värd för tjänsteleverantörerna HostWinds och LeaseWeb, i USA.

Lockean, kopplat till flera ransomware (ProLock, Maze, Egregor, etc.)

ANSSI har identifierat två infektionsvektorer associerade med den cyberkriminella gruppen. Utöver QakBot-laddaren nämner byrån även nätfiskeposter som levereras av en distributionstjänst. Här är det mycket troligt att Lockean kunde ha använt distributionstjänsten Emotet 2020 och TA551 2020 och 2021, med ett gemensamt mål: att distribuera QakBot-trojanen med nätfiskepost.

Cyberattacken av Västra Frankrike symboliserades av genombrottet för Egregor ransomware, denna gång med den skadliga koden Emotet som sin första nyttolast. Efter nedmonteringen av Emotet tidigare i år verkar Lockean ha gynnat användningen av en annan distributionstjänst från QakBot, TA551.

Under sina undersökningar identifierade ANSSI flera ransomware som Lockean var ansluten till. Den cyberkriminella gruppen använde alltså Egregor ransomware under incidenterna kl Västra Frankrike och GEFCO. Spår av ProLock och Maze ransomware har också hittats. Andra RaaS som Lockean kan ha anslutit sig till har identifierats, såsom DoppelPaymer och Sodinokibi. Lockean-gruppen skulle faktiskt ha jonglerat mellan dessa olika ransomwares, i takt med de slutliga avstängningarna (Maze i november 2020) och demonteringen (Egregor i februari 2021) av några av dem.

En grupp skicklig på dubbel utpressning, som försiktigt (eller nästan) undviker att attackera OSS-länderna

Det som också kan vara intressant är att förstå hur infektionskedjan fungerade. ANSSI förklarar till exempel för oss att de förstod att Lockean-gruppen var en anhängare av principen om dubbel utpressning. Detta innebär att han kan exfiltrera sina offers data samtidigt som han hotar dem att avslöja dem, för att tvinga dem att betala lösen efter kryptering. ” Om lösensumman betalas kommer Lockean bara att behålla ett genomsnitt på 70%, medan resten går till RaaS-utvecklare “, specificerar byrån.

ANSSI anser att Lockeans inriktning är ” opportunistisk “. Allt beror verkligen på vilka distributionstjänster han använder, oavsett om det är Emotet, TA551 eller något annat. ” Icke desto mindre har Lockean en benägenhet att rikta in sig på franska enheter i en logik av Big Game Hunting och utgör därför ett hot att titta på “, berättar byrån. En grupp som stödjer utövandet av Storviltsjakt gynnar inriktning på särskilda företag och institutioner i sina ransomware-attacker. Vi känner igen dessa attacker genom att de förbereds uppströms, som kan pågå i flera månader.

Lockean-gruppen verkar utesluta attackerande enheter baserade i länderna i Samväldet av oberoende stater (CIS), som särskilt inkluderar Ryssland. Detta beror på reglerna för engagemang som är kopplade till ransomwaren som används. Och ändå attackerade han det franska transport- och logistikföretaget GEFCO, vars kapital till 75 % ägs av… Russian Railways, vilket utan tvekan säger mycket om Lockeans kapacitet.

Källa: ANSSI