信息來源:安全內(nèi)參
-
法國網(wǎng)絡(luò)安全官員首次預(yù)警一個勒索軟件附屬團伙Lockean���,該團伙興起于2020年6月�����,至少與七家法國企業(yè)的攻擊活動有關(guān)���;
-
勒索軟件附屬團伙����,是指租用勒索軟件即服務(wù)(RaaS)平臺實施攻擊賺取贖金分成的犯罪組織����,它與勒索軟件開發(fā)者、RaaS運營平臺等共同組成勒索軟件生態(tài)�����;
-
Lockean是第二個被認定的勒索軟件附屬團伙�����,今年8月��,F(xiàn)BI披露了OnePercent團伙的勒索作案手法��。
法國網(wǎng)絡(luò)安全官員首次預(yù)警一個勒索軟件附屬團伙���,稱其曾在過去兩年中對法國企業(yè)展開一系列攻擊活動���。勒索軟件附屬團伙是指使用勒索軟件即服務(wù)(RaaS)平臺的網(wǎng)絡(luò)犯罪組織����。
作為法國國家網(wǎng)絡(luò)安全機構(gòu)ANSSI的下轄部門����,法國計算機應(yīng)急響應(yīng)小組(法國CERT)在11月3日發(fā)布了一份綜合報告,詳細介紹了被命名為Lockean的惡意團伙的過往活動與運作方式��。
據(jù)法國官員介紹�����,該團伙興起于2020年6月���,并表現(xiàn)出“針對法國實體目標的傾向”�����,至少與七家法國企業(yè)的攻擊活動有關(guān)。其中包括運輸物流公司Gefco��、制藥集團Fareva與Pierre Fabre以及當?shù)貓蠹圤uest-France��。
Lockean曾使用多種不同勒索軟件
法國CERT官員表示,該團伙通常會租用已經(jīng)被Emotet網(wǎng)絡(luò)釣魚郵件所感染的企業(yè)網(wǎng)絡(luò)訪問權(quán)限��,然后部署QakBot惡意軟件與CobaltStrike后滲透框架����。
Lockean團伙隨后會使用AdFind、BITSAdmin以及BloodHound等工具��,在網(wǎng)絡(luò)內(nèi)橫向移動�����,借以擴大對目標企業(yè)系統(tǒng)的訪問與控制范圍��。
再往后�����,該團伙會使用RClone工具程序從受害者網(wǎng)絡(luò)內(nèi)復(fù)制敏感文件��,最后部署文件加密勒索軟件����。
基于對幾輪入侵活動的調(diào)查,法國CERT官員發(fā)現(xiàn)Lockean團伙多年來使用了多種不同的勒索軟件����,包括DoppelPaymer����、Maze�����、Egregor���、REvil(Sodinokibi)以及ProLock等���。
Lockean在活躍期間使用了多個勒索軟件
攻擊過程的惡意軟件使用情況統(tǒng)計
第二個被認定的勒索軟件附屬團伙
鑒于Lockean曾先后使用多種不同的勒索軟件,官員們認為該團伙符合安全研究員認定的“勒索軟件附屬團伙(ransomware affiliate)”定義����,即注冊并使用勒索軟件即服務(wù)(RaaS)平臺的網(wǎng)絡(luò)犯罪組織。
通過這些平臺����,附屬團伙能夠隨時訪問、籌備并部署新的勒索軟件��,將這些勒索軟件部署在已侵入的網(wǎng)絡(luò)之上�����,最后與勒索軟件的開發(fā)者按比例瓜分勒索贖金���。
如果受害者方面拒絕付款����,則其數(shù)據(jù)將被發(fā)布在RaaS平臺運營的所謂“泄密網(wǎng)站”之上���。這種行為堪稱游街示眾���,往往會激起公眾輿論對于被黑企業(yè)的口誅筆伐。
Lockean也成為繼今年8月由FBI揭露的OnePercent之后����,第二個被執(zhí)法機構(gòu)公開認定的勒索軟件附屬團伙。
參考來源:https://therecord.media/cert-france-lockean-ransomware-group-behind-attacks-on-french-companies/
