法国网络安全官员首次预警一个勒索软件附属团伙,称其曾在过去两年中对法国企业展开一系列攻击活动。勒索软件附属团伙是指使用勒索软件即服务(RaaS)平台的网络犯罪组织。
作为法国国家网络安全机构ANSSI的下辖部门,法国计算机应急响应小组(法国CERT)在11月3日发布了一份综合报告,详细介绍了被命名为Lockean的恶意团伙的过往活动与运作方式。
据法国官员介绍,该团伙兴起于2020年6月,并表现出“针对法国实体目标的倾向”,至少与七家法国企业的攻击活动有关。其中包括运输物流公司Gefco、制药集团Fareva与Pierre Fabre以及当地报纸Ouest-France。
Lockean曾使用多种不同勒索软件
法国CERT官员表示,该团伙通常会租用已经被Emotet网络钓鱼邮件所感染的企业网络访问权限,然后部署QakBot恶意软件与CobaltStrike后渗透框架。
Lockean团伙随后会使用AdFind、BITSAdmin以及BloodHound等工具,在网络内横向移动,借以扩大对目标企业系统的访问与控制范围。
再往后,该团伙会使用RClone工具程序从受害者网络内复制敏感文件,最后部署文件加密勒索软件。
基于对几轮入侵活动的调查,法国CERT官员发现Lockean团伙多年来使用了多种不同的勒索软件,包括DoppelPaymer、Maze、Egregor、REvil(Sodinokibi)以及ProLock等。
第二个被认定的勒索软件附属团伙
鉴于Lockean曾先后使用多种不同的勒索软件,官员们认为该团伙符合安全研究员认定的“勒索软件附属团伙(ransomware affiliate)”定义,即注册并使用勒索软件即服务(RaaS)平台的网络犯罪组织。
通过这些平台,附属团伙能够随时访问、筹备并部署新的勒索软件,将这些勒索软件部署在已侵入的网络之上,最后与勒索软件的开发者按比例瓜分勒索赎金。
如果受害者方面拒绝付款,则其数据将被发布在RaaS平台运营的所谓“泄密网站”之上。这种行为堪称游街示众,往往会激起公众舆论对于被黑企业的口诛笔伐。
Lockean也成为继今年8月由FBI揭露的OnePercent之后,第二个被执法机构公开认定的勒索软件附属团伙。