Crédit : Dreamstime
Une analyse des portefeuilles de crypto-monnaie connectés au groupe de hackers Karakurt, combiné à leur méthode particulière de vol de données, suggère que l’abonnement du groupe chevauche celui de 2 autres équipes de piratage populaires, selon une analyse publiée par le fournisseur de cybersécurité Tetra Defense.
Le rapport de Tetra indique l’expérience d’une entreprise cliente qui a été touché par une attaque de rançongiciel par le groupe Conti, puis à nouveau ciblé par un vol d’informations perpétré par le groupe Karakurt. L’analyse a révélé que l’attaque Karakurt utilisait exactement la même porte dérobée pour compromettre les systèmes du client que l’attaque Conti précédente.
» Un tel accès pourrait simplement être acquis par une sorte d’achat, de relation ou d’accès subreptice à Installations du groupe Conti, » Tetra écrit dans son rapport.
Il est nécessaire de séparer les 2 différents types de cyber attaque expliquée ici, selon Tetra. Lors d’une attaque par ransomware, les données essentielles sont cryptées et l’argent de l’extorsion est payé en échange d’une clé de décryptage, afin que l’entreprise cible puisse récupérer ses données et reprendre ses activités.
Dans un vol de données, qui a été le seul type d’attaque commis par le groupe Karakurt, les pirates prennent des informations délicates sur l’entreprise et exigent de l’argent en échange de ne pas les divulguer au monde entier.
Les attaques Karakurt de ce type – il y en a eu plus d’une douzaine à ce jour, selon Tetra – ont également utilisé des portefeuilles de crypto-monnaie connectés aux adresses de paiement des victimes de Conti, renforçant encore plus l’argument selon lequel l’appartenance aux 2 groupes peut se chevaucher considérablement.
Ce modèle représente une rupture avec le modèle d’organisation typique du groupe Conti, selon Nathan Little, vice-président senior de la criminalistique numérique et de la réponse aux événements chez Tetra,
» Historiquement, nous avons effectivement vu les contrevenants honorer leurs offres », déclare-t-il. » Au début, lorsque ces [attaques de vol d’informations] ont commencé en 2019, il prévalait que les entreprises avaient suffisamment peur pour payer, non pas pour cacher l’événement, mais pour en prévenir les effets. «
De nos jours, cependant, le vol d’informations est devenu suffisamment courant – et les nouvelles routines réglementaires ont rendu les divulgations obligatoires plus probables – pour que les entreprises soient moins susceptibles de payer juste pour que leurs données soient protégées.
Ce n’est pas non plus le cas. seul aspect déroutant des attaques de Karakurt, selon Tetra. Les attaques minent la confiance des entreprises victimes dans le fait qu’elles ne seront pas ciblées plusieurs fois par les mêmes types d’attaques.
Le règlement d’une rançon Conti était généralement une garantie raisonnablement solide que le groupe continuerait et qu’aucune attaque supplémentaire ne se produirait. Si les deux groupes sont liés et que les victimes sont indirectement extorquées par les mêmes personnes, les paiements peuvent finir par être plus difficiles à obtenir.
« C’est intéressant de voir comment cela se déroule », déclare Little. » Cela semble être un peu une bousculade au sein du groupe Conti. «
Bien que la machinerie de la cybercriminalité soit incroyablement compliquée, a-t-il ajouté, la compromission initiale du système qui rend ces attaques possibles est souvent assez facile et peut souvent être évitée avec des procédures de protection raisonnablement fondamentales.
« La cybersécurité est un gros problème qui doit être résolu, mais bon nombre de ces incidents, avec de beaux contrôles de cybersécurité standard, ils ne se produiraient pas », déclare Little.
Toute l’actualité en temps réel, est sur L’Entrepreneur
