mardi, 9 août 2022

Conti ransomware expliqué : Ce que vous devez savoir sur ce groupe criminel agressif

Crédit : Dreamstime

Conti a été parmi les opérations de ransomware les plus agressives au cours des 2 dernières ans et continue de victimiser de nombreuses grandes entreprises ainsi que le gouvernement fédéral, la police et les organisations de soins de santé. Les chercheurs alertent sur le fait que, contrairement à d’autres groupes de ransomwares qui apprécient généralement leurs antécédents, Conti ne respecte pas constamment ses garanties envers les victimes.

 » Normalement, les opérateurs de ransomwares les plus efficaces déploient beaucoup d’efforts pour développer et conserver certains semblant de « stabilité » comme moyen d’aider les victimes à payer des rançons « , ont déclaré des scientifiques de Palo Alto Networks dans une analyse.  » Ils souhaitent développer une excellente réputation en matière de « service client » et de respect de leurs promesses : si vous payez une rançon, vos fichiers seront décryptés (et ils n’apparaîtront pas sur un site de fuite). D’après notre expérience, nous aidons les clients pour remédier aux attaques, Conti n’a en fait montré aucun signe qu’il se soucie de ses antécédents avec des victimes potentielles. « 

Conti est apparu pour la première fois fin 2019 et s’est en fait lentement développé pour devenir l’un des principaux ransomwares-as- opérations de service a (RaaS). On pense qu’il a des liens avec le rançongiciel Ryuk, qui était géré par un groupe de cybercriminalité russe appelé Wizard Spider. La société américaine de cybersécurité et de sécurité des installations (CISA) et le Federal Bureau of Investigation (FBI) ont déclaré dans une récente alerte qu’ils avaient observé l’utilisation du rançongiciel Conti dans plus de 400 attaques contre des organisations américaines et mondiales. Selon la société de renseignement sur la cybercriminalité Taped Future, Conti était le rançongiciel responsable du deuxième plus grand nombre de victimes en septembre 2021 après LockBit.

Conti fonctionne également un peu différemment des autres groupes RaaS. De nombreux groupes traitent avec des partenaires appelés affiliés pour mettre en danger les victimes et déployer le programme de ransomware pour un pourcentage des paiements de la rançon, mais Conti est censé payer un salaire mensuel à ses développeurs.

Le changement de marque de Conti

En mai 2022, les sociétés de renseignement de sécurité ont signalé que l’infrastructure de Conti, y compris son site officiel, son service de négociation, sa salle de discussion et ses messageries, avait été fermée ou réinitialisée. Les chercheurs de la société de sécurité AdvIntel pensent que le groupe ferme la marque Conti et se scindera probablement en groupes distincts, un processus qui a commencé il y a des mois et s’est en fait accéléré récemment.

Cela vient également après le lancement de Conti une attaque majeure d’extorsion de ransomware et de fuite d’informations en avril qui a touché au moins 27 organisations gouvernementales costariciennes, provoquant des interruptions de ses plateformes douanières et fiscales et affectant le commerce extérieur et les paiements des salaires publics. Cela a poussé le président du pays, Rodrigo Chaves, à déclarer l’état d’urgence à l’échelle nationale le 8 mai.

Chaves a qualifié le groupe Conti de terroriste et a déclaré qu’il y avait des signes que des personnes à l’intérieur du pays faisaient équipe avec le groupe. En réaction, les opposants à Conti déclarent avoir effectivement publié plus de 650 Go de données tirées des systèmes gouvernementaux du Costa Rica après que le gouvernement fédéral a refusé de payer les frais d’extorsion de 10 millions de dollars. Le département d’État américain a mis en place une allocation de 10 millions de dollars pour les détails liés à l’identité ou au lieu des dirigeants de Conti, ainsi que 5 millions de dollars pour les informations entraînant l’arrestation de tout co-conspirateur de Conti de n’importe quel pays.

 » Cet arrêt met en lumière un fait simple qui est apparu pour la direction de Conti depuis le début du printemps 2022 : le groupe ne peut plus être aidé de manière adéquate et se faire extorquer », ont déclaré les chercheurs d’AdvIntel dans un rapport.  » Le secret et le seul objectif valable du site de sont de divulguer de nouveaux ensembles de données, et cette opération est maintenant terminée. Ce n’était pas un choix spontané, c’était plutôt une décision calculée, dont les signes sont apparus depuis fin avril. Il y a 2 semaines, le 6 mai, AdvIntel a décrit que la marque Conti, et non l’organisation elle-même, était dans la procédure d’arrêt définitif. Depuis le 19 mai 2022, notre source spéciale de renseignement confirme qu’aujourd’hui est la principale date de décès de Conti. « 

Conti a également eu un impact important sur les relations publiques dans le monde de la cybercriminalité lorsqu’à la suite de l’invasion de l’Ukraine par la Russie, il a révélé son soutien total au gouvernement russe et a menacé de cyberattaques de représailles contre l’infrastructure vitale de tout pays qui a attaqué la Russie. D’autres groupes de rançongiciels en ont profité pour prendre leurs distances avec le différend et affirmer leur neutralité politique. Conti a ensuite tenté de revenir en arrière et a déclaré dans un tout nouveau message qu’il ne s’alliait à aucun gouvernement fédéral et condamnait la guerre, mais que la réputation avait déjà été endommagée.

Cela a été suivi par un chercheur en sécurité déversant des dizaines de milliers de messages du système de communication par chat de Conti, donnant au marché de l’infosécurité et au monde entier un contrôle beaucoup plus approfondi de la manière dont l’opération se déroulait.

Bien que la marque Conti soit en effet morte, des individus liés à elle continuera probablement à se livrer à des activités cybercriminelles dans le cadre d’autres groupes sous divers noms. Quelques-unes de ces équipes dérivées existent actuellement au sein du groupe Conti, par exemple, un groupe d’extorsion de données appelé KaraKurt ou une toute nouvelle opération de rançongiciel appelée Black Basta qui est potentiellement liée à Conti.

Comment Conti obtient l’accès initial au réseau

Les agresseurs utilisant Conti utilisent de nombreuses approches pour accéder aux réseaux d’entreprise, y compris l’achat d’accès à d’autres groupes qui ont déjà un tel accès à– le soi-disant réseau accède aux courtiers. Comme Ryuk, les opérateurs Conti ont en fait utilisé le logiciel malveillant TrickBot pour y accéder, ainsi que d’autres chevaux de Troie tels que IcedID. Ces chevaux de Troie sont généralement dispersés via des e-mails de harponnage contenant des liens destructeurs ou des accessoires Microsoft Word.

Les informations d’identification volées ou faibles de la procédure de bureau à distance (RDP) sont également une technique courante d’entrée dans les réseaux pour Conti et tous groupes de rançongiciels. Les conseils de la CISA et du FBI discutent également des faux logiciels promus par l’optimisation des moteurs de recherche, des réseaux de diffusion de logiciels malveillants comme ZLoader et de l’exploitation des vulnérabilités des actifs informatiques externes comme autres méthodes courantes d’accès des affiliés de Conti. Dans les intrusions examinées par Sophos qui ont abouti à la sortie de Conti, la société a observé l’exploitation d’appliances de pare-feu FortiGate exécutant un micrologiciel vulnérable.

Comment Conti se déplace latéralement

Lorsque Au sein d’une entreprise, les pirates utilisent une collection d’outils pour cartographier le réseau et élargir leur accès. Les scientifiques ont vu utiliser le cadre d’attaque Cobalt Strike et un outil de détection de pénétration appelé Router Scan qui peut rechercher et forcer brutalement les qualifications administratives Web des routeurs, des caméras électroniques et des gadgets de stockage en réseau.

Les ennemis aussi. lancer des attaques Kerberos dans le but d’obtenir le hachage de l’administrateur et de mener des attaques par force brute. De nombreux groupes, y compris Conti, utilisent des outils typiques tels que Windows Sysinternal ou Mimikatz pour acquérir des hachages d’utilisateurs et des qualifications en clair qui permettent l’escalade des avantages et le mouvement latéral à l’intérieur du domaine.

Les affiliés de Conti ont également été observés exploitant bien- vulnérabilités Windows connues à l’intérieur des réseaux tels que SMB Server (y compris EternalBlue), PrintNightmare (CVE-2021-34527) dans le service de spouleur d’impression Windows ou Zerologon (CVE-2020-1472) dans les systèmes de contrôleur de domaine Microsoft Active Directory.

Comment Conti chiffre les fichiers et supprime les sauvegardes

Les adversaires de Conti ne publient pas directement le ransomware et s’appuient plutôt sur des chargeurs plus légers qui peuvent éviter la détection antivirus. Le groupe a utilisé les implants Cobalt Strike et Meterpreter (Metasploit), en plus d’un chargeur appelé getuid pour injecter le ransomware directement dans la mémoire.

 » Comme les chargeurs réfléchissants fournissent la charge utile du ransomware dans la mémoire, jamais composant le binaire du ransomware dans le système de fichiers de l’ordinateur infecté, les assaillants éliminent un talon d’Achille vital qui affecte la plupart des autres foyers de ransomwares : il ne reste aucun artefact du ransomware à découvrir et à étudier, même pour un analyste approfondi des logiciels malveillants « , ont déclaré les chercheurs de Sophos. dans une analyse plus tôt cette année.

Le ransomware obscurcit également ses chaînes et les appels de l’API Windows en utilisant des valeurs de hachage au lieu des fonctions de l’API et en incluant une autre couche de cryptage par-dessus. Tout cela est suggéré pour rendre difficiles à la fois la détection automatisée par les programmes de sécurité et la rétro-ingénierie manuelle.

Un autre aspect intéressant du rançongiciel Conti est qu’il prend en charge les spécifications d’exécution en ligne de commande qui lui conseillent de sécuriser soit le disque régional , un partage réseau particulier ou peut-être une liste de partages réseau définis dans un fichier.  » Le résultat significatif de cette capacité est qu’elle peut causer des dommages ciblés dans un environnement dans une approche qui pourrait gêner les activités de réaction aux événements « , ont déclaré les chercheurs de VMware dans une analyse.  » Une attaque réussie peut avoir des dommages limités aux partages d’un serveur qui n’a pas de capacité Web, mais où il n’y a aucune preuve de destruction similaire dans d’autres endroits de l’environnement. Cela a également pour résultat de diminuer le « son » général de une attaque de ransomware où des centaines de systèmes commencent immédiatement à montrer des signes d’infection. Au lieu de cela, le cryptage peut même ne pas être évident pendant des jours, voire des semaines, dès qu’un utilisateur accède aux données. « 

Conti utilise l’algorithme AES-256 pour sécuriser les fichiers avec un secret public codé en dur dans le programme de ransomware. Cela indique que chaque binaire est spécialement conçu pour chaque victime afin de garantir que les victimes disposent d’une clé spéciale Il permet également au programme de crypter des fichiers même s’il n’est pas en mesure d’appeler un serveur de commande et de contrôle.

Les agresseurs de Conti ont également déployé beaucoup d’efforts pour compliquer les efforts de réparation. Le malware commence par en désactivant et en effaçant les clichés instantanés de volumes Windows, mais en répétant ensuite environ 160 commandes pour désactiver de nombreux services système Windows, y compris certains liés à des options de sauvegarde tierces, notamment le fournisseur de services Acronis VSS, le service client professionnel, le service de sauvegarde SQLsafe, le service de filtrage SQLsafe, Veeam Backup Brochure Data Service et AcronisAgent.

Exfiltration de données pour double extorsion

Selon un rapport de la société de sécurité AdvIntel, Conti ne se contente pas d’effacer les sauvegardes, comment ever exploite également les services de sauvegarde pour exfiltrer des informations afin de pouvoir ultérieurement faire chanter les victimes avec des risques de fuites d’informations.  » Conti recherche des utilisateurs et des services privilégiés de Veeam et s’appuie pour accéder aux sauvegardes, les exfiltrer, les supprimer et les sécuriser afin de s’assurer que les violations de ransomwares ne peuvent pas être sauvegardées « , ont déclaré les chercheurs de l’entreprise.  » De cette manière, Conti a simultanément exfiltré les informations pour davantage de chantage à la victime, tout en laissant la victime sans aucune possibilité de récupérer rapidement ses fichiers au fur et à mesure que les sauvegardes sont supprimées. « 

Les agresseurs de Conti ont également été souvent observés en utilisant l’utilitaire open source Rclone pour télécharger des données d’entreprise vers des services d’hébergement de fichiers basés sur le cloud comme Mega.

Comme la majorité des groupes de rançongiciels de nos jours, Conti maintient un site Web de fuite de données où il publie des informations sur la marque- nouvelles victimes. Le groupe vient tout juste d’être contrarié par le fait que ses discussions sur la négociation de la rançon avec les victimes sont transmises aux journalistes. Cela se produit puisque de telles négociations se déroulent par le biais de « sites Web de paiement » spécifiques aux victimes établis par les ennemis qui sont normalement inclus dans les notes de rançon laissées aux victimes. Si les notes de rançon sont publiées sur des services comme VirusTotal, les chercheurs de logiciels malveillants peuvent découvrir les sites Web de paiement et y voir implicitement l’interaction entre les victimes et le groupe.

Dans un article récent, le groupe a menacé de lancer les données de toute victime avec laquelle il travaille si les discussions sont diffusées dans tout le règlement. Cela s’est produit récemment après que le groupe a mis en péril le fabricant japonais d’appareils électroniques JVCKenwood. « Par exemple, hier, nous avons en fait découvert que notre conversation avec JVCKenwood, que nous avions rencontré il y a une semaine, avait été signalée aux journalistes », a écrit le groupe.  » En dépit de ce qui est dit dans l’article, les colonies entraient conformément à une opération de service régulière. Puisque la publication a eu lieu au milieu des négociations, cela a abouti à notre choix de mettre fin aux négociations et de divulguer l’information. JVCKenwood a été actuellement informé. De plus, aujourd’hui, nous avons à nouveau repéré des captures d’écran de nos chats de règlement distribués sur les réseaux sociaux. « 

Le groupe a averti que si les chats de règlement sont divulgués après le paiement de la rançon et que les fichiers de la victime sont supprimé, il publiera les données volées à une autre victime dans une sorte de sanction cumulative.

Comment atténuer les attaques de ContiLe FBI conjoint

et l’avis CISA contient des suggestions générales d’atténuation des ransomwares et des ressources supplémentaires, y compris des suggestions telles que l’utilisation de l’authentification multifacteur pour les comptes, la mise en œuvre de la division du réseau et du filtrage du trafic, la recherche de vulnérabilités d’applications logicielles es et en gardant les produits logiciels à peu près à jour, en supprimant les applications inutiles et en appliquant des contraintes et des contrôles d’exécution logicielle, en limitant l’accès à distance à RDP et en limitant l’accès aux ressources sur le réseau, en auditant et en restreignant l’utilisation des comptes administratifs et en exécutant des actions de point final et de détection outils.

L’avis comprend également un lien vers une liste d’indicateurs de compromis Conti (IOC) et les méthodes et procédures utilisées par le groupe sont décrites dans la structure MITRE ATT&CK.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici