Cybercriminalité: pourquoi les entreprises françaises sont des victimes à de telles attaques?

Les entreprises françaises sont des victimes

Dans le domaine de la cybercriminalité, les groupes se font et se défont de manière régulière. Si le groupe de ransomwares derrière REvil subit actuellement de nombreuses arrestations, un nouveau groupe vient d’être identifié par les chercheurs de l’ANSSI sous le nom de Lockean.

L’Agence Nationale de la Sécurité des Systèmes d’Information, indique avoir découvert ce groupe après avoir remarqué plusieurs points communs entre les attaques qui ont touché l’entreprise pharmaceutique Pierre Fabre, la société pharmaceutique Fareva et le journal Ouest-France.

Au cours de la dernière année et demie, le groupe aurait compromis les réseaux d’au moins huit entreprises françaises. L’activité de Lockean a été remarquée pour la première fois en 2020 lorsque le groupe a touché une entreprise française du secteur manufacturier et a déployé le ransomware DoppelPaymer sur leur réseau.

Entre juin 2020 et mars 2021, Lockean a ensuite attaqué au moins sept autres entreprises avec diverses familles de RaaS (Ransomware-as-a-Service) comme Maze, Egregor, ProLock ou REvil.

Dans la plupart des attaques décrites dans le rapport de l’ANSSI, le groupe a obtenu un accès initial au réseau des victimes via Qbot. Également connu sous le nom de QakBot, ce cheval de Troie propage d’autres logiciels malveillants, notamment les souches de ransomware ProLock, Egregor et DoppelPaymer.

Qbot s’est principalement propagé par le biais d’e-mails provenant du botnet Emotet, aujourd’hui disparu. Dans au moins un cas connu, Lockean a utilisé le service de distribution de malwares IcedID pour accéder au réseau.