Le botnet Muhstik vit une deuxième jeunesse grâce à une faille dans la base de données Redis sur Debian et Ubuntu (bien qu’elle puisse se produire sur plus de plateformes), qui permet d’y exécuter du code LUA en s’échappant de la sandbox. La faille, découverte début mars, s’ajoute à l’arsenal de vulnérabilités utilisées par le botnet pour se propager depuis 2018. Six au total, exploitant des problèmes dans Oracle WebLogic, Drupal, Confluence… Muhstik est responsable, entre autres activités, de la réalisation d’attaques par déni de service distribué.
Il est curieux que ce botnet utilise IRC pour communiquer avec son centre de commande et de contrôle et que le découvreur du bug Redis ait informé Ubuntu du problème, s’attendant qu’à leur tour, ils en informent Debian. Mais ils ne l’ont pas fait et il a dû notifier Debian séparément.
Après avoir fait un retour en force en novembre de l’année dernière, Emotet montre à nouveau une croissance régulière dans l’infection des ordinateurs, accumulant plus de 100 000 hôtes infectés.
Selon des recherches récentes, Emotet n’a pas atteint l’ampleur qu’il avait autrefois, bien qu’il montre une forte résurgence après l’interruption de 10 mois en 2021. Depuis novembre, 130 000 hôtes répartis dans 179 pays ont été infectés.
Avant le démantèlement de janvier 2021, ce logiciel malveillant avait infecté 1,6 million d’appareils dans le monde. Emotet a permis aux cybercriminels d’installer des chevaux de Troie bancaires ou des ransomwares sur les systèmes compromis.
La résurrection de ce logiciel malveillant aurait été menée par le groupe Conti lui-même, utilisant Trickbot comme moyen de distribution, dans le but de changer de tactique pour échapper à la surveillance des activités malveillantes des forces de l’ordre.
Les chercheurs de Black Lotus Labs soulignent que l’ajout de bots n’a pas vraiment commencé pour de bon avant janvier 2022, où de nouvelles variantes ont modifié le schéma de chiffrement RSA, brouillant le trafic réseau. Ils peuvent également recueillir des informations allant au-delà de la liste des processus en cours sur les machines infectées.
Actuellement, le botnet compte près de 200 domaines de commande et de contrôle (C2), dont la plupart sont situés aux États-Unis, en Allemagne, au Brésil, en Thaïlande et en Inde. D’autre part, la plupart des bots infectés se trouvent en Asie, principalement au Japon, en Inde et en Chine.
« La croissance et la distribution des bots sont un indicateur important des progrès réalisés par Emotet dans le rétablissement de son infrastructure autrefois très étendue. Chaque bot est un point d’appui potentiel pour un réseau convoité et présente une opportunité de déployer Cobalt Strike ou d’être éventuellement promu au rang de bot C2 ».
Suite au leak des chats du groupe ransomware Conti, Brian Krebs a publié sur son site une analyse des informations les plus juteuses qui en ont été extraites. Je vous fais écho de ces informations ici, mais je vous recommande vivement la lecture des articles originaux de l’auteur.
Démantèlement de Trickbot et récupération de Conti
En septembre 2022, l’Agence nationale de sécurité (NSA) a lancé une opération de grande envergure pour démanteler le botnet Trickbot. Ce réseau a été utilisé par Conti, entre autres, pour diffuser ses attaques de ransomware.
L’agence américaine a réussi à prendre le contrôle du réseau en déconnectant les nœuds des serveurs utilisés pour le contrôler. Les chats du groupe Conti révèlent des informations sur cette action de la NSA.
L’un des dirigeants de Conti, identifié par le pseudo « Hof », a commenté le sabotage du réseau. Selon son analyse, l’agence américaine doit avoir eu accès au code source du bot ou l’avoir obtenu par reverse engineering. Les bots étaient configurés de telle sorte qu’ils continuaient à fonctionner mais n’effectuaient aucune des actions pour lesquelles ils avaient été conçus. Ils ont également été empêchés de se réparer automatiquement ou de télécharger une nouvelle mise à jour qui modifierait la configuration fournie.
Malheureusement, après plusieurs semaines, le groupe Conti a réussi à reconstruire son infrastructure de logiciels malveillants et a décidé de contre-attaquer en infectant 428 hôpitaux aux États-Unis dans le but de semer la panique. Au lendemain de l’attaque, le FBI et le ministère de la sécurité intérieure ont été contraints d’organiser une conférence d’urgence avec l’industrie médicale pour faire face à la menace imminente.
La collaboration de la Russie et la chute de REvil
Les chats divulgués par ContiLeaks témoignent de la demande de coopération du FBI auprès des autorités russes. Il semble que l’objectif du FBI était d’arrêter les criminels à l’origine du botnet Trickbot. Cependant, selon des conversations internes au groupe, les autorités russes n’avaient pas vraiment l’intention de coopérer.
L’enquête a d’abord été abandonnée, puis réactivée. Toutefois, lorsqu’elle a été réactivée, l’enquête s’est concentrée sur le principal concurrent de Conti, le groupe de logiciels malveillants REvil. En janvier de cette année, le gouvernement russe a annoncé l’arrestation de 14 personnes liées à ce groupe. Selon les autorités, cette opération a été menée en réponse à une demande des responsables américains mais, comme on peut le voir, ce n’est pas tout à fait exact.
Structure et gestion interne de Conti
La publication des chats du groupe Conti révèlent de nombreuses informations sur le fonctionnement interne du groupe. Personne ne s’étonne que, compte tenu de l’ampleur des opérations qu’ils réalisent, leur structure ressemble de près à celle de toute entreprise de taille moyenne.
Selon les chats, un salaire de base de 2 000 dollars serait offert aux nouveaux membres embauchés, mais les employés seraient payés entre 5.000 et 10.000 dollars, en fonction de leur productivité. Chaque travailleur se verrait attribuer une semaine de travail de cinq jours, les semaines étant réparties de manière à ce qu’il y ait un minimum de personnel disponible 24 heures sur 24 pour répondre aux besoins de maintenance des botnets ou aux négociations entamées avec les victimes de ransomware.
Malgré le fait que Conti soit un groupe à fort impact et très efficace, l’analyse des conversations révèle un certain air de désorganisation et un manque de coordination interne, certains nœuds de botnet étant perdus faute d’avoir trouvé les ressources nécessaires dans les portefeuilles virtuels en prévision des paiements pour maintenir les VPN ou les serveurs nécessaires à la continuité de leurs opérations.
Outils OSINT
Selon le rapport Chainalysis, les bénéfices du groupe en 2021 seraient d’environ 180 millions de dollars. Conti est donc de loin le groupe de ransomware le plus performant en activité. Les leaks de chats permettent d’estimer que le nombre d’employés de l’organisation oscille entre 65 et 100 personnes. L’investissement dans les outils de sécurité et les anti-virus est très élevé. Ceux-ci sont utilisés non seulement pour les tests de détection de leurs ransomwares, mais aussi comme mesure de protection interne.
Estimation des revenus des gangs de ransomware. Source Chainalysis
En outre, des conversations sont enregistrées sur la surveillance imposée aux administrateurs, validant leur activité sur les serveurs internes. Il s’agit de vérifier qu’aucune opération susceptible de mettre en péril la continuité ou la sécurité de l’opération n’est en cours. Cela provoque de nombreuses frictions entre les différents membres du groupe.
L’investissement de Conti dans les outils de renseignement Open Source (OSINT) est particulièrement remarquable. Des abonnements à Crunchbase Pro ou autre Zoominfo, fournissent des informations précieuses à l’organisation, telles que les montants assurés de plusieurs entreprises, une estimation de leurs bénéfices et les coordonnées des dirigeants et des membres du conseil d’administration.
En outre, le groupe utilise de multiples outils pour déterminer les entreprises qui se cachent derrière certaines plages d’adresses IP, si un VPN est lié à une certaine adresse IP ou non. Cela est crucial pour ses opérations, car le botnet utilisé accède à un grand nombre de systèmes, et il doit donc donner la priorité à ceux qui se trouvent dans le réseau des grandes entreprises.
Outils de pentesting et contacts divers
L’acquisition d’une licence de Cobalt Strike est également extraite des conversations de Conti. Cet outil commercial de test de pénétration n’est vendu qu’à certaines entreprises selon des critères stricts. Selon les informations examinées, le coût d’acquisition de la licence est estimé à 60.000 USD. La moitié de cette somme couvrirait le prix de l’outil, tandis que le reste irait à une entreprise légitime qui effectuerait l’achat.
En outre, des informations ont été trouvées sur des paiements versés à un journaliste et à des employés d’entreprises participant à la récupération de systèmes après une attaque par ransomware. Ainsi, Conti aurait une certaine influence dans les médias pour faire pression sur les victimes et les forcer à payer. Les employés chargés du recouvrement feraient office de négociateurs entre Conti et les entreprises victimes. L’organisation aurait alors l’assurance d’obtenir le maximum de l’entreprise extorquée en ayant à sa solde, un contact à l’interne.
Conti et la fièvre crypto
Les importantes sommes d’argent que le groupe Conti déplace lui permettent de réaliser des actions qui ne sont pas accessibles aux autres, comme faire varier à volonté la valeur de certaines crypto-monnaies. Dans une discussion intéressante entre les membres du groupe, il est question d’une opération massive visant à gonfler une crypto-monnaie qui rapporterait des bénéfices importants à l’organisation. Bien qu’il ne soit pas mentionné quelle plate-forme serait affectée, les dates semblent coïncider avec l’effondrement de la crypto Squid.
Les membres de Conti montrent également un grand intérêt pour la création de projets liés aux smart contracts. Cette approche n’est pas du tout farfelue, puisque des études ont déjà été réalisées sur l’impact « positif » qu’elles auraient sur les opérations de ransomware. Grâce à ces contrats, les victimes peuvent vérifier qu’elles recevront bien ce pour quoi elles ont accepter de payer si elles effectuent le paiement requis.
En résumé, les fuites de ContiLeaks ont fourni des informations très intéressantes sur le fonctionnement interne du plus grand groupe de ransomware actif. Reste à savoir s’il le restera après avoir vu toutes ses informations exposées, apparemment par un analyste ukrainien qui a décidé d’attaquer l’organisation après qu’elle ait publiquement affiché son soutien au gouvernement russe.
Il y a quelques jours, j’ai publié un billet dans lequel je parlais de l’engagement de Microsoft à aider à protéger l’Ukraine en termes de cybersécurité contre les attaques de logiciels malveillants tels que FoxBlade. Aujourd’hui, le FBI et la CISA ont publié un nouveau rapport mettant en garde contre les dangers du WhisperGate et de l’HermeticWiper.
Dans le cas de WhisperGate, Microsoft a signalé qu’il s’agit d’un logiciel malveillant conçu pour ressembler à un rançongiciel, mais qui vise en fait à causer des dommages irréparables. Il s’agit d’un « wiper », un type de logiciel malveillant qui cherche à effacer complètement le disque dur de la machine affectée, en se débarrassant de toutes les informations et de tous les programmes qu’il contient. Il écrase complètement le MBR (Master Boot Record) avec une note de rançon. En outre, il tente également de détruire la partition C: en écrasant toutes les informations existantes par des données aléatoires et dénuées de sens.
D’autre part, HermeticWiper a déjà été abordé dans ce blog le 24 février, je vous renvoie donc vers l’article « La théière russe explose : l’Ukraine et la Russie également en guerre numérique » pour plus de détails sur le fonctionnement de ce malware. En résumé, HermeticWiper a été lancé en conjonction avec les leurres HermeticRansom pour rendre les appareils touchés non amorçables.
Le rapport publié par les deux organisations vise principalement à alerter les entreprises américaines, car on estime que ces attaques de logiciels malveillants pourraient éventuellement toucher des entreprises en dehors des frontières de l’Ukraine. Le rapport exhorte les entreprises à prendre des mesures telles que la mise en place d’une authentification à deux facteurs (MFA), de solutions antivirus et anti-malware, ainsi que de filtres anti-spam.
En plus des deux malwares mentionnés jusqu’à présent dans ce billet, nous allons mentionner un troisième wiper supplémentaire découvert par les chercheurs d’ESET : IsaacWiper.
Les chercheurs n’ont pas encore attribué ce nouveau wiper à un groupe cybercriminel spécifique et on ne sait pas encore exactement quel était le vecteur d’attaque initial, mais en ce qui concerne ce dernier, on soupçonne que les attaquants ont utilisé des outils tels que Impacket pour effectuer des mouvements latéraux. Ce nouveau « wiper » a été détecté dans des DLL ou des fichiers EXE de Windows sans signature d’authentification, et sa date de compilation la plus ancienne remonte à octobre 2021.
Pour conclure cette publication, il est donc recommandé, et ce non seulement aux entreprises mais aussi aux utilisateurs, de prendre les mesures de protection recommandées contre les attaques potentielles de malware et de ransomware car, bien que nous ayons parlé dans ce cas d’attaques dirigées au niveau national, les incidents causés au niveau privé par ce type de cyberattaques sont de plus en plus fréquents et touchent un nombre croissant de personnes.
La guerre en Ukraine pourrait faire une victime inattendue. Le groupe cybercriminel Conti a récemment exprimé son soutien total au gouvernement russe. Deux jours plus tard, le compte twitter ContiLeaks a commencé à divulguer des informations sur le groupe. Cette fuite est bien plus importante que la publication de ses manuels techniques en août de l’année dernière.
Message publié sur le site web de Conti.
La source de la fuite semble provenir d’une personne du groupe lui-même. C’est certainement quelqu’un qui a un accès privilégié à l’infrastructure de Conti.
Dans un premier temps, des chats privés avec des conversations entre janvier 2021 et février 2022 ont été divulgués. Ces données permettent d’obtenir des informations précieuses, telles que des adresses Bitcoin, le modèle d’organisation du groupe ou des guides sur la manière de mener des attaques.
Zoom dans les fichiers divulgués
Au milieu des proclamations anti-guerre et du soutien à l’Ukraine, de nouvelles fuites ont continué à se produire. Certaines d’entre elles ont créé une véritable agitation sur les médias sociaux. Un dossier portant le nom de Zoom est apparu parmi les fichiers divulgués.
Matt Nagel, responsable de la sécurité et de la confidentialité chez Zoom, a démenti peu après que l’entreprise ait été touchée par une violation de sécurité liée au ransomware Conti.
Parmi les contenus d’intérêt publiés par ContiLeaks figuraient le code source du panneau d’administration du groupe et des captures d’écran de serveurs de stockage. Un fichier protégé par un mot de passe s’est avéré contenir le code source des fonctions de chiffrement, de déchiffrement et de construction du ransomware.
Pour les analystes, cette découverte est d’une grande valeur. Mais ce genre de fuite a ses inconvénients. D’autres groupes pourraient voir le jour en utilisant le code publié.
L’effet sur la réputation de groupe Conti ne fait aucun doute, mais il faut encore attendre pour voir dans quelle mesure son modèle économique est affecté.
