安全動(dòng)態(tài)

法國(guó)CERT首次預(yù)警勒索軟件附屬團(tuán)伙:已攻陷多家法國(guó)公司

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-11-05    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


  • 法國(guó)網(wǎng)絡(luò)安全官員首次預(yù)警一個(gè)勒索軟件附屬團(tuán)伙L(fēng)ockean,該團(tuán)伙興起于2020年6月,至少與七家法國(guó)企業(yè)的攻擊活動(dòng)有關(guān);

  • 勒索軟件附屬團(tuán)伙,是指租用勒索軟件即服務(wù)(RaaS)平臺(tái)實(shí)施攻擊賺取贖金分成的犯罪組織,它與勒索軟件開(kāi)發(fā)者、RaaS運(yùn)營(yíng)平臺(tái)等共同組成勒索軟件生態(tài);

  • Lockean是第二個(gè)被認(rèn)定的勒索軟件附屬團(tuán)伙,今年8月,F(xiàn)BI披露了OnePercent團(tuán)伙的勒索作案手法。

法國(guó)網(wǎng)絡(luò)安全官員首次預(yù)警一個(gè)勒索軟件附屬團(tuán)伙,稱(chēng)其曾在過(guò)去兩年中對(duì)法國(guó)企業(yè)展開(kāi)一系列攻擊活動(dòng)。勒索軟件附屬團(tuán)伙是指使用勒索軟件即服務(wù)(RaaS)平臺(tái)的網(wǎng)絡(luò)犯罪組織。

作為法國(guó)國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu)ANSSI的下轄部門(mén),法國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(法國(guó)CERT)在11月3日發(fā)布了一份綜合報(bào)告,詳細(xì)介紹了被命名為L(zhǎng)ockean的惡意團(tuán)伙的過(guò)往活動(dòng)與運(yùn)作方式。

據(jù)法國(guó)官員介紹,該團(tuán)伙興起于2020年6月,并表現(xiàn)出“針對(duì)法國(guó)實(shí)體目標(biāo)的傾向”,至少與七家法國(guó)企業(yè)的攻擊活動(dòng)有關(guān)。其中包括運(yùn)輸物流公司Gefco、制藥集團(tuán)Fareva與Pierre Fabre以及當(dāng)?shù)貓?bào)紙Ouest-France。

Lockean曾使用多種不同勒索軟件

法國(guó)CERT官員表示,該團(tuán)伙通常會(huì)租用已經(jīng)被Emotet網(wǎng)絡(luò)釣魚(yú)郵件所感染的企業(yè)網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限,然后部署QakBot惡意軟件與CobaltStrike后滲透框架。

Lockean團(tuán)伙隨后會(huì)使用AdFind、BITSAdmin以及BloodHound等工具,在網(wǎng)絡(luò)內(nèi)橫向移動(dòng),借以擴(kuò)大對(duì)目標(biāo)企業(yè)系統(tǒng)的訪(fǎng)問(wèn)與控制范圍。

再往后,該團(tuán)伙會(huì)使用RClone工具程序從受害者網(wǎng)絡(luò)內(nèi)復(fù)制敏感文件,最后部署文件加密勒索軟件。

基于對(duì)幾輪入侵活動(dòng)的調(diào)查,法國(guó)CERT官員發(fā)現(xiàn)Lockean團(tuán)伙多年來(lái)使用了多種不同的勒索軟件,包括DoppelPaymer、Maze、Egregor、REvil(Sodinokibi)以及ProLock等。

Lockean在活躍期間使用了多個(gè)勒索軟件

攻擊過(guò)程的惡意軟件使用情況統(tǒng)計(jì)

第二個(gè)被認(rèn)定的勒索軟件附屬團(tuán)伙

鑒于Lockean曾先后使用多種不同的勒索軟件,官員們認(rèn)為該團(tuán)伙符合安全研究員認(rèn)定的“勒索軟件附屬團(tuán)伙(ransomware affiliate)”定義,即注冊(cè)并使用勒索軟件即服務(wù)(RaaS)平臺(tái)的網(wǎng)絡(luò)犯罪組織。

通過(guò)這些平臺(tái),附屬團(tuán)伙能夠隨時(shí)訪(fǎng)問(wèn)、籌備并部署新的勒索軟件,將這些勒索軟件部署在已侵入的網(wǎng)絡(luò)之上,最后與勒索軟件的開(kāi)發(fā)者按比例瓜分勒索贖金。

如果受害者方面拒絕付款,則其數(shù)據(jù)將被發(fā)布在RaaS平臺(tái)運(yùn)營(yíng)的所謂“泄密網(wǎng)站”之上。這種行為堪稱(chēng)游街示眾,往往會(huì)激起公眾輿論對(duì)于被黑企業(yè)的口誅筆伐。

Lockean也成為繼今年8月由FBI揭露的OnePercent之后,第二個(gè)被執(zhí)法機(jī)構(gòu)公開(kāi)認(rèn)定的勒索軟件附屬團(tuán)伙。

參考來(lái)源:https://therecord.media/cert-france-lockean-ransomware-group-behind-attacks-on-french-companies/


 
 

上一篇:全球能源行業(yè)移動(dòng)釣魚(yú)攻擊同比增長(zhǎng)161%

下一篇:2021年11月5日聚銘安全速遞