Conti (rançongiciel)
Conti est un rançongiciel observĂ© depuis 2020, qui serait distribuĂ© par un groupe basĂ© en Russie. Par extension le groupe de pirates utilisant ce rançongiciel se dĂ©nomme de la mĂȘme maniĂšre[1] - [2]. Toutes les versions de Microsoft Windows sont connues pour ĂȘtre affectĂ©es[1]. Le gouvernement des Ătats-Unis a offert une rĂ©compense pouvant aller jusqu'Ă 10 millions de dollars pour des informations sur le groupe dĂ©but mai 2022.
DĂ©tails de la menace
Le logiciel utilise sa propre implémentation d' AES-256 qui utilise jusqu'à 32 threads logiques individuels, ce qui le rend beaucoup plus rapide que la plupart des rançongiciels[1]. Le mode de fonctionnement n'est pas clair[1].
Le gang derriĂšre Conti exploite un site Ă partir duquel il peut divulguer des documents copiĂ©s par le rançongiciel depuis 2020[3]. Le mĂȘme gang a exploitĂ© le rançongiciel Ryuk[3]. Le groupe est connu sous le nom de Wizard Spider et est basĂ© Ă Saint-PĂ©tersbourg, en Russie[4].
Comportement
Une fois sur un systÚme, le rançongiciel essaie de supprimer les clichés instantanés de volume[1]. Il essaie de mettre fin à un certain nombre de services à l'aide de Restart Manager pour s'assurer qu'il peut chiffrer les fichiers qu'ils utilisent[1]. Cela désactive la surveillance en temps réel et désinstalle l'application Windows Defender. Le comportement par défaut consiste à chiffrer tous les fichiers sur les lecteurs Server Message Block locaux et en réseau, en ignorant les fichiers avec les extensions DLL, .exe, .sys et .lnk[1] . Il est également capable de cibler des lecteurs spécifiques ainsi que des adresses IP individuelles[1] - [2].
Remédiation
Selon NHS Digital, le seul moyen garanti de récupérer les données est de restaurer tous les fichiers concernés à partir de leur sauvegarde la plus récente[1].
Fuites
Lors de l' invasion russe de l'Ukraine en 2022, le groupe Conti a annoncé son soutien à la Russie et a menacé de déployer des "mesures de représailles" si des cyberattaques étaient lancées contre le pays[5] - [6]. En conséquence, environ 60 000 messages des journaux de discussion internes ont été divulgués par une personne anonyme qui a indiqué son soutien à l'Ukraine[7] - [8] - [9] ainsi que le code source et d'autres fichiers utilisés par le groupe[10] - [6] - [11].
Les fuites couvrent la période allant du début de 2020 au 27 février 2022 et consistent en plus de 60 000 messages de chat[6]. La plupart des messages divulgués sont des messages directs envoyés via Jabber[6]. Les attaques ont été coordonnées à l'aide de Rocket. Discuter[6]. Les fuites sont fragmentées[6].
Certains des messages discutent des actions de Cozy Bear dans le piratage des chercheurs sur COVID-19[12]. Kimberly Goody, directrice de l'analyse de la cybercriminalitĂ© chez Mandiant, affirme que les rĂ©fĂ©rences Ă une source externe anonyme dans les journaux pourraient ĂȘtre utiles au gang[12]. Elle mentionne les fuites de l' avenue Liteyny Ă Saint-PĂ©tersbourg, qui abrite les bureaux locaux du FSB, comme preuve que la source externe pourrait ĂȘtre le gouvernement russe[12].
Les documents extraits des fuites incluent le soutien Ă Vladimir Poutine, Vladimir Zhirinovsky, l'antisĂ©mitisme (y compris envers Volodymyr Zelenskyy )[13]. Un membre connu sous le nom de Patrick a rĂ©pĂ©tĂ© plusieurs fausses affirmations faites par Poutine au sujet de l'Ukraine[13]. Patrick vit en Australie et est peut-ĂȘtre un citoyen russe[13].
Certains messages montrent une obsession pour Brian Krebs[13].
Les messages utilisent massivement mat[13]. Des messages contenant de l'homophobie, de la misogynie et des références à la maltraitance des enfants ont également été trouvés[13].
Adhésion et structure
Le membre le plus ancien est connu sous les pseudonymes Stern ou Demon et agit en tant que PDG[6]. Un autre membre connu sous le nom de Mango agit en tant que directeur général et communique fréquemment avec Stern[6]. Mango a déclaré à Stern dans un message qu'il y avait 62 personnes dans l'équipe principale[6]. Les nombres impliqués fluctuent, atteignant jusqu'à 100 personnes[6]. En raison du roulement constant de ses membres, le groupe recrute constamment à partir de sites de recrutement légitimes et de sites de hackers[6].
Les programmeurs ordinaires gagnent environ 1 500 à 2 000 dollars par mois, et les membres négociant des paiements de rançon peuvent prendre une part des bénéfices[6]. En avril 2021, un membre a affirmé avoir un journaliste anonyme qui a pris une part de 5% des paiements de rançongiciel en faisant pression sur les victimes pour qu'elles paient[6].
En mai 2022, le gouvernement des Ătats-Unis a offert une rĂ©compense allant jusqu'Ă 15 millions de dollars pour des informations sur le groupe : 10 millions de dollars pour l'identitĂ© ou l'emplacement de ses dirigeants, et 5 millions de dollars pour des informations conduisant Ă l'arrestation de toute personne conspirant avec lui[14].
Cibles connues
- Agence Ă©cossaise de protection de l'environnement [4]
- Fat Face [4]
- Health Service Executive en RĂ©publique d'Irlande[4] .
- Conseil de santé du district de Waikato en Nouvelle-Zélande[16].
- Shutterfly[17].
- KP Snacks[18].
- Nordic Choice Hotels[19].
Notes et références
Traduction
- (en) Cet article est partiellement ou en totalitĂ© issu de lâarticle de WikipĂ©dia en anglais intitulĂ© « Conti (ransomware) » (voir la liste des auteurs).
Références
- (en) « Conti Ransomware », NHS Digital, NHS Digital, (consulté le )
- (en) « Conti ransomware uses 32 simultaneous CPU threads for blazing-fast encryption », (consulté le )
- (en) Catalin Cimpanu, « Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites », ZDNet,â (lire en ligne, consultĂ© le )
- (en) Gareth Corfield, « Hospitals cancel outpatient appointments as Irish health service struck by ransomware », The Register, (consulté le )
- (en) Reichert, « Conti Ransomware Group Warns Retaliation if West Launches Cyberattack on Russia », CNET, (consulté le )
- (en) Burgess, Matt, « The Workaday Life of the World's Most Dangerous Ransomware Gang. », Wired UK, (consulté le )
- (en) Corfield, « 60,000 Conti ransomware gang messages leaked », The Register, (consulté le )
- (en) Humphries, « Backing Russia Backfires as Conti Ransomware Gang Internal Chats Leak », PCMag, (consulté le )
- (en) Faife, « A ransomware group paid the price for backing Russia », The Verge, (consulté le )
- (en) « The Conti ransomware leaks », Malwarebytes, (consulté le )
- 'I can fight with a keyboard': How one Ukrainian IT specialist exposed a notorious Russian ransomware gang CNN. 2022.
- Matt Burgess, « Leaked Ransomware Docs Show Conti Helping Putin From the Shadows », Wired UK,â (lire en ligne, consultĂ© le )
- « Leaked Chats Show Russian Ransomware Gang Discussing Putinâs Invasion of Ukraine », The Intercept, (consultĂ© le )
- (en) Eric Beech, « U.S. offers $15 million reward for information on Conti ransomware group »,
- Baskin, « TAU Threat Discovery: Conti Ransomware », VMware Carbon Black, (consulté le )
- « Waikato hospitals hit by cyber security incident », Radio New Zealand,â (lire en ligne, consultĂ© le )
- « Shutterfly services disrupted by Conti ransomware attack », Bleeping Computer,â (lire en ligne, consultĂ© le )
- « KP Snacks giant hit by Conti ransomware », Bleeping Computer,â (lire en ligne, consultĂ© le )
- (en-US) Catherine Stupp, « Inside a Ransomware Hit at Nordic Choice Hotels », Wall Street Journal,â (ISSN 0099-9660, lire en ligne, consultĂ© le )