法國CERT首次預警勒索軟件附屬團伙：已攻陷多家法國公司

法國網絡安全官員首次預警一個勒索軟件附屬團伙Lockean，該團伙興起于2020年6月，至少與七家法國企業的攻擊活動有關；

勒索軟件附屬團伙，是指租用勒索軟件即服務（RaaS）平臺實施攻擊賺取贖金分成的犯罪組織，它與勒索軟件開發者、RaaS運營平臺等共同組成勒索軟件生態；

Lockean是第二個被認定的勒索軟件附屬團伙，今年8月，FBI披露了OnePercent團伙的勒索作案手法。

法國網絡安全官員首次預警一個勒索軟件附屬團伙，稱其曾在過去兩年中對法國企業展開一系列攻擊活動。勒索軟件附屬團伙是指使用勒索軟件即服務（RaaS）平臺的網絡犯罪組織。

作為法國國家網絡安全機構ANSSI的下轄部門，法國計算機應急響應小組（法國CERT）在11月3日發布了一份綜合報告，詳細介紹了被命名為Lockean的惡意團伙的過往活動與運作方式。

據法國官員介紹，該團伙興起于2020年6月，并表現出“針對法國實體目標的傾向”，至少與七家法國企業的攻擊活動有關。其中包括運輸物流公司 Gefco、制藥集團 Fareva與 Pierre Fabre以及當地報紙 Ouest-France。

Lockean曾使用多種不同勒索軟件

法國CERT官員表示，該團伙通常會租用已經被Emotet網絡釣魚郵件所感染的企業網絡訪問權限，然后部署QakBot惡意軟件與CobaltStrike后滲透框架。

Lockean團伙隨后會使用AdFind、BITSAdmin以及BloodHound等工具，在網絡內橫向移動，借以擴大對目標企業系統的訪問與控制范圍。

再往后，該團伙會使用RClone工具程序從受害者網絡內復制敏感文件，最后部署文件加密勒索軟件。

基于對幾輪入侵活動的調查，法國CERT官員發現Lockean團伙多年來使用了多種不同的勒索軟件，包括DoppelPaymer、Maze、Egregor、REvil（Sodinokibi）以及ProLock等。

Lockean在活躍期間使用了多個勒索軟件

攻擊過程的惡意軟件使用情況統計

第二個被認定的勒索軟件附屬團伙

鑒于Lockean曾先后使用多種不同的勒索軟件，官員們認為該團伙符合安全研究員認定的“ 勒索軟件附屬團伙（ransomware affiliate）”定義，即注冊并使用勒索軟件即服務（RaaS）平臺的網絡犯罪組織。

通過這些平臺，附屬團伙能夠隨時訪問、籌備并部署新的勒索軟件，將這些勒索軟件部署在已侵入的網絡之上，最后與勒索軟件的開發者按比例瓜分勒索贖金。

如果受害者方面拒絕付款，則其數據將被發布在RaaS平臺運營的所謂“泄密網站”之上。這種行為堪稱游街示眾，往往會激起公眾輿論對于被黑企業的口誅筆伐。

Lockean也成為繼今年8月由FBI揭露的 OnePercent之后，第二個被執法機構公開認定的勒索軟件附屬團伙。