+- TISI (https://www.tisi-fr.com/board)
+-- Forum : La cafet' (https://www.tisi-fr.com/board/forumdisplay.php?fid=14)
+--- Forum : Le journal (https://www.tisi-fr.com/board/forumdisplay.php?fid=15)
+--- Sujet : Le groupe Lockean ? (/showthread.php?tid=3803)
Le groupe Lockean ? - shyrox - 08-11-2021
Selon l'Anssi, au moins six entreprises, dont Ouest France, Pierre Fabre et Gefco, ont été ciblées par le même groupe criminel. "Lockean" est actif depuis au moins juin 2020 et est affilié à plusieurs ransomwares. Sa spécialité: le Big Game Hunting , qui correspond aux attaques ciblées qui se rapproche des méthodes d'espionnage informatique d'un pays.
Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques de l'Agence nationale de la sécurité des systèmes d'information a annoncé le mercredi 3 novembre 2021 qu'il avait découvert une nouvelle organisation cybercriminelle appelée "Lockean". A travers son enquête, la gendarmerie française de cybersécurité a tenté de comprendre son mode opératoire et de distinguer ses principales techniques, tactiques et procédures.
Depuis au moins juin 2020, Lockean est accusé d'avoir ciblé plusieurs entités avec la logique " Big Game Hunting", dont l'Ouest de la France, Gefco et Pierre Fabre. Cela signifie qu'il mène des attaques ciblées au moyen de méthodes et de techniques auparavant réservées aux opérations d'espionnage informatique gérées par l'État.
Afin de pénétrer le système d'information de la victime, Lockean a utilisé plusieurs vecteurs d'infection. Selon certaines informations, il a utilisé le service de distribution Emotet en 2020 et le service de distribution TA551 en 2020 et 2021 pour distribuer QakBot via des e-mails de phishing.
Ainsi, l'Anssi a précisé que lors de la cyberattaque dans l'ouest de la France, la première charge utile sera le code malveillant Emotet. Lockean utilisera également le chargeur QakBot (logiciel qui récupère des fichiers exécutables malveillants ou des charges utiles à partir de serveurs contrôlés par l'attaquant).
Cette annonce a été faite dans un contexte de multiplication des attaques informatiques, qui ont touché aussi bien les petites organisations que les grandes entreprises. L'identification d'un nouveau groupe et de son mode opératoire doit permettre aux entités publiques et privées de mieux s'en protéger.