Un mystérieux groupe de cybercriminels cible les entreprises françaises

Le groupe de cybercriminels Lockean cible depuis deux ans principalement les entreprises françaises.

Dans le monde très actif de la cybercriminalité, les groupes se font et se défont de manière régulière. Telle une hydre, lorsqu’une tête est coupée, trois repoussent à sa place. Si le groupe de ransomwares derrière REvil subit actuellement de nombreuses arrestations, un nouveau groupe vient d’être identifié par les chercheurs de l’ANSSI sous le nom de « Lockean ».

L’Agence Nationale de la Sécurité des Systèmes d’Information, indique avoir découvert ce groupe après avoir remarqué plusieurs points communs entre les attaques qui ont touché l’entreprise pharmaceutique Pierre Fabre, la société pharmaceutique Fareva et le journal Ouest-France.

Un groupe actif depuis 2020

Au cours de la dernière année et demie, le groupe aurait compromis les réseaux d’au moins huit entreprises françaises. L’activité de Lockean a été remarquée pour la première fois en 2020 lorsque le groupe a touché une entreprise française du secteur manufacturier et a déployé le ransomware DoppelPaymer sur leur réseau.

Au moins huit entreprises ont été victimes de ce groupe.

Entre juin 2020 et mars 2021, Lockean a ensuite attaqué au moins sept autres entreprises avec diverses familles de RaaS (Ransomware-as-a-Service) comme Maze, Egregor, ProLock ou REvil.

Dans la plupart des attaques décrites dans le rapport de l’ANSSI, le groupe a obtenu un accès initial au réseau des victimes via Qbot. Également connu sous le nom de QakBot, ce cheval de Troie propage d’autres logiciels malveillants, notamment les souches de ransomware ProLock, Egregor et DoppelPaymer.

Qbot s’est principalement propagé par le biais d’e-mails provenant du botnet Emotet, aujourd’hui disparu. Dans au moins un cas connu, Lockean a utilisé le service de distribution de malwares IcedID pour accéder au réseau.

Un mode opératoire basé sur la double extorsion

L’ANSSI note par ailleurs que lorsqu’une rançon est payée, Lockean n’en conserve en moyenne que 70%. Le restant étant destiné aux développeurs des RaaS.

L’ANSSI est parvenue à établir le mode opératoire de Lockean.

Pour augmenter ses profits, le groupe a donc opté pour le modèle de la double extorsion. Cela consiste à faire pression sur la victime en récupérant ses données avant de les chiffrer et en la menaçant ensuite de les publier sur un site Internet dans le but qu’elle paye la rançon.

Cette menace de fuite de données, qui a des implications plus importantes, pousse les victimes à être davantage disposées à payer une rançon.

Lockean est le deuxième affilié à des services de ransomwares identifié cette année. En août, le FBI a partagé des informations sur OnePercent, un acteur qui a frappé des organisations aux États-Unis avec diverses souches de ransomware.