法国CERT首次预警勒索软件附属团伙：已攻陷多家法国公司

法国网络安全官员首次预警一个勒索软件附属团伙，称其曾在过去两年中对法国企业展开一系列攻击活动。勒索软件附属团伙是指使用勒索软件即服务（RaaS）平台的网络犯罪组织。

作为法国国家网络安全机构ANSSI的下辖部门，法国计算机应急响应小组（法国CERT）在11月3日发布了一份综合报告，详细介绍了被命名为Lockean的恶意团伙的过往活动与运作方式。

据法国官员介绍，该团伙兴起于2020年6月，并表现出“针对法国实体目标的倾向”，至少与七家法国企业的攻击活动有关。其中包括运输物流公司Gefco、制药集团Fareva与Pierre Fabre以及当地报纸Ouest-France。

Lockean曾使用多种不同勒索软件

法国CERT官员表示，该团伙通常会租用已经被Emotet网络钓鱼邮件所感染的企业网络访问权限，然后部署QakBot恶意软件与CobaltStrike后渗透框架。

Lockean团伙随后会使用AdFind、BITSAdmin以及BloodHound等工具，在网络内横向移动，借以扩大对目标企业系统的访问与控制范围。

再往后，该团伙会使用RClone工具程序从受害者网络内复制敏感文件，最后部署文件加密勒索软件。

基于对几轮入侵活动的调查，法国CERT官员发现Lockean团伙多年来使用了多种不同的勒索软件，包括DoppelPaymer、Maze、Egregor、REvil（Sodinokibi）以及ProLock等。

第二个被认定的勒索软件附属团伙

鉴于Lockean曾先后使用多种不同的勒索软件，官员们认为该团伙符合安全研究员认定的“勒索软件附属团伙（ransomware affiliate）”定义，即注册并使用勒索软件即服务（RaaS）平台的网络犯罪组织。

通过这些平台，附属团伙能够随时访问、筹备并部署新的勒索软件，将这些勒索软件部署在已侵入的网络之上，最后与勒索软件的开发者按比例瓜分勒索赎金。

如果受害者方面拒绝付款，则其数据将被发布在RaaS平台运营的所谓“泄密网站”之上。这种行为堪称游街示众，往往会激起公众舆论对于被黑企业的口诛笔伐。

Lockean也成为继今年8月由FBI揭露的OnePercent之后，第二个被执法机构公开认定的勒索软件附属团伙。