프랑스 사이버 보안 담당자들은 지난 2년 간 프랑스 기업에 대한 일련의 공격을 시작했다고 주장하면서 처음으로 랜섬웨어 공격 조직에 경고를 알렸다. 프랑스 국가사이버보안기관 ANSSI 산하 프랑스 CERT는 지난 11월 3일, Lockean이라는 악성조직의 과거 활동과 운영에 대해 자세히 설명하는 종합 보고서를 발표했다.

발표에 따르면 이 그룹은 지난 2020년 6월에 조직되어 최소 7개 이상 프랑스 기업 공격과 관련 “프랑스 법인을 표적으로 삼는 경향”을 보이고 있다.  공격 대상에는 프랑스 운송업체 Gefco, 제약그룹 Fareva와 Pierre Fabre와 지역 신문 Quest-France가 포함된다.

프랑스 CERT는 Lockean 조직이 일반적으로 Emotet 피싱 메일에 감염된 기업 네트워크에 접근한 뒤 QakBot 악성코드와 CobaltStrike를 배포한다고 발표했다. 그런 다음 AdFind, BITSAdmin 밒 BloodHound와 같은 도구를 사용하여 네트어ㅜ크에서 수평이동하여 대상 기업 시스템에 대한 접근 범위를 확장시키는 것으로 알려졌다. 프랑스 CERT는 Lockean이 RClone 도구를 사용하여 피해자의 네트워크에서 민감한 파일을 복사한 뒤 랜섬웨어를 배포할 것이라고 경고했다.

한 편, 여러 차례의 침입활동을 조사한 결과 프랑스 CERT 관계자는 Lockean 조직이 DoppelPaymer, Maze, Egregor, REvil(Sodinokibi) 및 ProLock을 비롯한 다양한 랜섬웨어를 수년 간 사용했다는 사실을 발견한 것으로 알려졌다.