Il y a quelques mois, je vous avais parlé de Conti, le successeur du malware Ryuk. Dans ce cas, je faisais écho aux résultats du rapport publié par Profdat, qui met en évidence l’activité du groupe de ransomware.

Parmi les cibles de ce groupe figurent les infrastructures critiques, notamment les hôpitaux et les prestataires de services d’urgence. En septembre dernier, l’Agence pour la cybersécurité et les infrastructures (CISA) a publié une analyse des techniques employées par Conti (ainsi que des techniques d’atténuation pour les organisations), qui soulignait que le FBI avait détecté plus de 400 incidents à l’échelle internationale (en juillet 2020, il y en avait une centaine selon le rapport de Profdat, basé sur des données extraites du « site d’information » de Conti).

En septembre également, Talos a publié un article mettant en évidence les caractéristiques du groupe cybercriminel, son niveau d’organisation et la connaissance de ses victimes potentielles.

Le rapport de Profdat confirme la montée en puissance de ce logiciel malveillant, et date le début de ses investigations au mois de septembre de cette année. Pour réaliser l’étude, les chercheurs ont exploité une vulnérabilité dans les serveurs utilisés par Conti, ce qui a permis d’extraire des informations sur son panneau de gestion, ainsi que des détails sur les techniques, tactiques et procédures (TTP) utilisées dans la chaîne d’attaque.

L’un des points mis en évidence dans le rapport sur la chaîne d’attaques est qu’avant de lancer Conti, les attaquants essaient d’identifier les composants critiques du système, tels que les contrôleurs de domaine ou les serveurs de sauvegarde. S’ils sont trouvés, les attaquants peuvent déclencher la phase suivante de l’attaque plus rapidement. Ce point reflète à nouveau l’importance de segmenter le réseau et de protéger ces éléments critiques.

Les attaquants effectuent une analyse des données collectées pour identifier ce qui est important pour la victime afin de planifier leur attaque. Ce serait la deuxième phase. La troisième phase est le cryptage des fichiers et les sauvegardes. À la fin de cette phase, les fichiers considérés comme importants seront chiffrés, les fichiers de sauvegarde seront supprimés et la « note de rançon » sera clairement visible. La note de rançon avec les instructions de paiement est l’une des similitudes identifiées jusqu’à présent avec Ryuk.

Une partie du rapport explique également comment s’est déroulée l’analyse de désanonymisation, en extrayant l’IP réelle du service TOR utilisé par Conti, ainsi que des détails sur le serveur hébergeant le service. À partir de là, l’équipe de recherche a pu suivre l’activité des services, dont les résultats sont présentés en détail dans le rapport.

Plus d’information:
Conti Ransomware Nets at Least $25,5 Millones in Four Months. Elliptic. 18.11.2021. https://www.elliptic.co/blog/conti-ransomware-nets-at-least-25.5-million-in-four-months
[Conti] Ransomware Group In-Depth Analysis. Prodaft. 18.11.2021. https://www.prodaft.com/resource/detail/conti-ransomware-group-depth-analysis
CISA helps draw the Curtain on Conti Ransomware Operations. PCrisk. 23.09.2021. https://www.pcrisk.com/internet-threat-news/21900-cisa-helps-draw-the-curtain-on-conti-ransomware-operations
Translated: Talos’ insights from the recently leaked Conti ransomware playbook. Talos, 02.09.2021. https://blog.talosintelligence.com/2021/09/Conti-leak-translation.html