Le ransomware Conti frappe l’Amérique du Nord et l’Europe dans des attaques de double extorsion
Table des matières :
Bien qu’étant une menace relativement nouvelle dans le domaine de la cybersécurité, le rançongiciel Conti est déjà devenu un grand danger pour les organisations du monde entier. Depuis son émergence en mai 2020, les chercheurs en sécurité ont signalé au moins 150 attaques réussies contre les secteurs du commerce de détail, de la fabrication, de la construction et d’autres industries en Amérique du Nord et en Europe de l’Ouest. Notamment, les opérateurs de Conti appliquent un schéma de double extorsion contre leurs victimes, exigeant une rançon pour le déchiffrement et divulguant les données volées si elle n’est pas payée.
Qu’est-ce que le rançongiciel Conti ?
Selon la dernière analyse de Cyberseason, Conti est un logiciel malveillant très offensif, capable de se répandre automatiquement, de chiffrer rapidement, d’éviter les détections avec succès et d’effectuer des mouvements latéraux. Actuellement, il est activement promu selon le modèle Ransomware-as-a-Service (RaaS) sur divers forums du darknet. En outre, le gang Conti a établi des partenariats exclusifs avec les mainteneurs de TrickBot qui ont remplacé le rançongiciel Ryuk en faveur de Conti durant l’été 2020. Une forte promotion par le gang TrickBot, un cycle de mises à jour rapide, des échantillons de code partagés et des fonctionnalités améliorées font de Conti un successeur de Ryuk à part entière en termes de capacités malveillantes.
Le gang Conti a lancé trois versions du rançongiciel depuis mai 2020, rendant chaque nouvelle version encore plus notoire. La dernière version a reçu :
- Des fonctionnalités de propagation améliorées qui exploitent le SMB pour verrouiller plusieurs hôtes à l’intérieur du réseau compromis ;
- Une routine de chiffrement améliorée qui repose sur la technique du multithreading pour verrouiller rapidement les fichiers avec 32 threads de chiffrement simultanés ;
- Des tactiques d’évasion améliorées qui permettent l’anti-analyse en cachant les appels API Windows et en utilisant un débogueur Python dédié.
Les chercheurs en sécurité de ClearSky révèlent que les opérateurs de rançongiciel Conti pourraient être liés au collectif de hackers affilié à la Russie connu sous le nom de Wizard Spider. Auparavant, ce groupe de menaces avait été identifié comme entretenant le fameux rançongiciel Ryuk, et l’analyse de l’attaque contre une entreprise canadienne non nommée indique que les mêmes acteurs se cachent derrière les intrusions Conti.
Attaques du rançongiciel Conti
Selon les experts en sécurité, Conti est principalement déployé avec l’aide de l’infrastructure malveillante de TrickBot. Le processus d’infection suit le même schéma dans la plupart des cas. Les victimes reçoivent un e-mail de phishing avec des liens malveillants insérés dans son corps. En cas de clic, les URL redirigent les utilisateurs vers Google Drive contenant des exécutables Trojan Bazar. Une fois installés, Bazar dépose le rançongiciel Conti sur le réseau compromis.
À ce jour, le gang Conti a réussi à frapper plus de 150 entreprises dans le monde entier, dont la plupart sont situées en Amérique du Nord. Le nombre de victimes ne cesse de croître, comme en témoigne un site dédié de Conti lancé par les mainteneurs du rançongiciel. Les adversaires utilisent cette page web dans des schémas de double extorsion pour divulguer des morceaux d’informations volées et pousser leurs victimes à payer la rançon. Par exemple, en décembre 2020, les développeurs de Conti ont déposé deux archives ZIP présumées contenant 3 Go de données exfiltrées de le fabricant Advantech IoT. Le même mois, des hackers ont divulgué des données de l’Agence de protection de l’environnement écossais (SEPA) sur leur page web. Les dernières attaques du groupe de rançongiciel notoire ont frappé plusieurs institutions de santé américaines, dont Leon Medical Centers et Nocona General Hospital. Le gang Conti a divulgué des centaines de dossiers de patients dans une tentative d’extorsion.
Détection de Conti
L’un des développeurs Threat Bounty les plus actifs de SOC Prime, Osman Demir, a récemment divulgué une règle Sigma exclusive visant la détection d’attaques Conti. Pour identifier les techniques et procédures associées à l’infection par le rançongiciel Conti et prévenir l’attaque, vous êtes invité à télécharger le contenu dédié de SOC depuis le Threat Detection Marketplace via le lien suivant.
https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR : Microsoft Defender ATP, CrowdStrike
MITRE ATT&CK :
Tactiques : Impact, Escalade des privilèges, Évasion des défenses, Découverte
Techniques : Données chiffrées pour Impact (T1486), Injection de processus (T1055), Découverte de système distant (T1018)
À moins que vous n’ayez pas accès payant au Threat Detection Marketplace, cette règle Sigma exclusive peut être débloquée en activant votre essai gratuit sous un abonnement communautaire. De plus, nous vous recommandons de prêter attention à la règle Sigma communautaire couvrant également l’infection par Conti : https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-context
Abonnez-vous au Threat Detection Marketplace, la plus grande plateforme mondiale de Detection as Code regroupant plus de 100 000 règles de Détection et de Réponse facilement convertibles en diverses plateformes. Vous souhaitez rejoindre la communauté de défenseurs cyber de SOC Prime et contribuer à la bibliothèque de contenu SOC de premier plan ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !
