Fransa’nın Ulusal Siber Güvenlik kurumu ANSSI’nin bir bölümü olan Bilgisayar Acil Müdahale Ekibi (CERT-FR) tarafından yayınlanan rapora göre, son iki yıldır Fransız şirketlere yönelik uzun soluklu siber saldırılardan sorumlu olan Lockean adındaki yeni bir “fidye yazılım iştiraki” duyuruldu.
Fransız yetkililere göre bu tehdit aktörü Haziran 2020’den bu yana aktif bir durumda olup, Fransa merkezli şirket ve kuruluşları hedef alma eğilimlerine sahipler. Grubun en az yedi saldırının arkasında olduğu, bunlar arasında lojistik şirketi Gefco, ilaç şirketleri Fareva ve Pierre Fabre, yerel bir gazete olan Ouest-France yer alıyor.
CERT Fransa yetkilileri, Lockean adlı bu grubun DoppelPaymer, Maze, Prolock, Egregor ve Sodinokibi dahil olmak üzere birkaç Hizmet Olarak Fidye Yazılımı (RaaS) ile bağlantılı olduğunu düşünüyor. Bu fidye yazılım çetesine atfedilen tüm saldırılarda gerçekleştirilen izinsiz girişlerde, QakBot adlı zararlı yazılımının ve sömürü sonrası aracı olarakta CobaltStrike’ın dahil olduğu fark edilmiş.
Fidye yazılım çetesinin QakBot zararlısını kimlik avı e-postası yoluyla dağıtmak için 2020 yılında Emotet, 2020 ve 2021’de ise TA551’den yararlandığı ortaya çıkmış.
Lockean fidye yazılım çetesinin yanal hareketler için AdFind, BITSAdmin ve BloodHound dahil olmak üzere birden çok araç kullanıp, veri hırsızlığı için RClone adlı aracı kullanmış.
