法國網(wǎng)絡(luò)安全官員首次預(yù)警一個(gè)勒索軟件附屬團(tuán)伙L(fēng)ockean，該團(tuán)伙興起于2020年6月，至少與七家法國企業(yè)的攻擊活動(dòng)有關(guān)；

　　勒索軟件附屬團(tuán)伙，是指租用勒索軟件即服務(wù)（RaaS）平臺實(shí)施攻擊賺取贖金分成的犯罪組織，它與勒索軟件開發(fā)者、RaaS運(yùn)營平臺等共同組成勒索軟件生態(tài)；

　　Lockean是第二個(gè)被認(rèn)定的勒索軟件附屬團(tuán)伙，今年8月，F(xiàn)BI披露了OnePercent團(tuán)伙的勒索作案手法。

　　法國網(wǎng)絡(luò)安全官員首次預(yù)警一個(gè)勒索軟件附屬團(tuán)伙，稱其曾在過去兩年中對法國企業(yè)展開一系列攻擊活動(dòng)。勒索軟件附屬團(tuán)伙是指使用勒索軟件即服務(wù)（RaaS）平臺的網(wǎng)絡(luò)犯罪組織。

　　作為法國國家網(wǎng)絡(luò)安全機(jī)構(gòu)ANSSI的下轄部門，法國計(jì)算機(jī)應(yīng)急響應(yīng)小組（法國CERT）在11月3日發(fā)布了一份綜合報(bào)告，詳細(xì)介紹了被命名為Lockean的惡意團(tuán)伙的過往活動(dòng)與運(yùn)作方式。

　　據(jù)法國官員介紹，該團(tuán)伙興起于2020年6月，并表現(xiàn)出“針對法國實(shí)體目標(biāo)的傾向”，至少與七家法國企業(yè)的攻擊活動(dòng)有關(guān)。其中包括運(yùn)輸物流公司Gefco、制藥集團(tuán)Fareva與Pierre Fabre以及當(dāng)?shù)貓?bào)紙Ouest-France。

　　Lockean曾使用多種不同勒索軟件

　　法國CERT官員表示，該團(tuán)伙通常會租用已經(jīng)被Emotet網(wǎng)絡(luò)釣魚郵件所感染的企業(yè)網(wǎng)絡(luò)訪問權(quán)限，然后部署QakBot惡意軟件與CobaltStrike后滲透框架。

　　Lockean團(tuán)伙隨后會使用AdFind、BITSAdmin以及BloodHound等工具，在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，借以擴(kuò)大對目標(biāo)企業(yè)系統(tǒng)的訪問與控制范圍。

　　再往后，該團(tuán)伙會使用RClone工具程序從受害者網(wǎng)絡(luò)內(nèi)復(fù)制敏感文件，最后部署文件加密勒索軟件。

　　基于對幾輪入侵活動(dòng)的調(diào)查，法國CERT官員發(fā)現(xiàn)Lockean團(tuán)伙多年來使用了多種不同的勒索軟件，包括DoppelPaymer、Maze、Egregor、REvil（Sodinokibi）以及ProLock等。

　　Lockean在活躍期間使用了多個(gè)勒索軟件

　　攻擊過程的惡意軟件使用情況統(tǒng)計(jì)

　　第二個(gè)被認(rèn)定的勒索軟件附屬團(tuán)伙

　　鑒于Lockean曾先后使用多種不同的勒索軟件，官員們認(rèn)為該團(tuán)伙符合安全研究員認(rèn)定的“勒索軟件附屬團(tuán)伙（ransomware affiliate）”定義，即注冊并使用勒索軟件即服務(wù)（RaaS）平臺的網(wǎng)絡(luò)犯罪組織。

　　通過這些平臺，附屬團(tuán)伙能夠隨時(shí)訪問、籌備并部署新的勒索軟件，將這些勒索軟件部署在已侵入的網(wǎng)絡(luò)之上，最后與勒索軟件的開發(fā)者按比例瓜分勒索贖金。

　　如果受害者方面拒絕付款，則其數(shù)據(jù)將被發(fā)布在RaaS平臺運(yùn)營的所謂“泄密網(wǎng)站”之上。這種行為堪稱游街示眾，往往會激起公眾輿論對于被黑企業(yè)的口誅筆伐。

　　Lockean也成為繼今年8月由FBI揭露的OnePercent之后，第二個(gè)被執(zhí)法機(jī)構(gòu)公開認(rèn)定的勒索軟件附屬團(tuán)伙。