Recevez chaque jour toute l'actualité du numérique

x

L'Anssi identifie Lockean, un nouveau groupe cybercriminel

D'après l'Anssi, six entreprises au moins – dont Ouest France, Pierre Fabre et Gefco – ont été prises pour cible par le même groupe criminel. "Lockean" serait actif depuis au moins le mois de juin 2020 et serait affilié à plusieurs ransomwares. Sa spécialité : le Big Game Hunting, qui consiste à mener des attaques ciblées à travers des méthodes proches de l'espionnage informatique étatique.  
Twitter Facebook Linkedin Flipboard Email
×

L'Anssi identifie Lockean, un nouveau groupe cybercriminel
L'Anssi identifie Lockean, un nouveau groupe cybercriminel © Gursimrat Ganda/Unsplash

Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT) de l'Agence nationale de la sécurité des systèmes d'information (Anssi) annonce ce mercredi 3 novembre 2021 avoir détecté un nouveau groupe cybercriminel, baptisé "Lockean". A travers ses investigations, le gendarme français de la cybersécurité a tenté de comprendre son mode opératoire et de distinguer ses principales techniques, tactiques et procédures.

Lockean a ciblé Pierre Fabre, Ouest-France...
Actif depuis au moins le mois de juin 2020, Lockean est accusé d'avoir ciblé plusieurs entités, dont Ouest-France, Gefco, ainsi que Pierre Fabre, dans une logique de "Big Game Hunting". Cela signifie qu'il mène des attaques ciblées à travers des méthodes et techniques auparavant réservées à des opérations d'espionnage informatique opérées par des Etats (exploitation de vulnérabilités 0-day, propagation manuelle et furtive). 

L'Anssi note qu'en principe, Lockean exclut le ciblage d'entités présentes dans les pays de la Communauté des Etats Indépendants (CEI), une entité intergouvernementale créée par 11 pays de l'ex-URSS (Arménie, Azerbaïdjan, Biélorussie, Kazakhstan, Kirghizstan, Moldavie, Ouzbékistan, Russie, Tadjikistan, Turkménistan, Ukraine) et rejointe par la Géorgie. Mais en attaquant Gefco, il a en réalité touché la Russie puisque la société appartient à 75% aux chemins de fer russes.

Ce groupe aurait été affilié à plusieurs Ransomware-as-a-Service (RaaS) dont Egregor, Sodinokibi, DoppelPaymer et ProLock.
 

Plusieurs vecteurs d'infection
Pour s'infiltrer dans le système d'information de ses victimes, Lockean utilise plusieurs vecteurs d'infection. Il aurait utilisé le service de distribution Emotet en 2020 ainsi que celui de TA551 en 2020 et 2021 dans le but de distribuer QakBot par courriel d’hameçonnage (phishing).

L'Anssi raconte ainsi que lors la cyberattaque de Ouest-France, la première charge utile aurait été le code malveillant Emotet. Lockean utiliserait également le loader QakBot (logiciel qui récupère des exécutables malveillants ou des charges utiles à partir d'un serveur contrôlé par un attaquant). 

Cette annonce s'inscrit dans un contexte d'explosion des attaques informatiques qui touchent autant les petites structures que les grandes entreprises. L'identification d'un nouveau groupe et de son mode opératoire doit permettre aux entités publiques et privées de mieux s'en prémunir.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.