Conti (rançongiciel)

Conti est un rançongiciel observé depuis 2020, qui serait distribué par un groupe basé en Russie. Par extension le groupe de pirates utilisant ce rançongiciel se dénomme de la même manière^[1],[2]. Toutes les versions de Microsoft Windows sont connues pour être affectées^[1]. Le gouvernement des États-Unis a offert une récompense pouvant aller jusqu'à 10 millions de dollars pour des informations sur le groupe début mai 2022.

Détails de la menace

Le logiciel utilise sa propre implémentation d'AES-256 qui utilise jusqu'à 32 threads logiques individuels, ce qui le rend beaucoup plus rapide que la plupart des rançongiciels^[1]. Le mode de fonctionnement n'est pas clair^[1].

Le gang derrière Conti exploite un site à partir duquel il peut divulguer des documents copiés par le rançongiciel depuis 2020^[3]. Le même gang a exploité le rançongiciel Ryuk^[3]. Le groupe est connu sous le nom de Wizard Spider et est basé à Saint-Pétersbourg, en Russie^[4].

Comportement

Une fois sur un système, le rançongiciel essaie de supprimer les clichés instantanés de volume^[1]. Il essaie de mettre fin à un certain nombre de services à l'aide de Restart Manager pour s'assurer qu'il peut chiffrer les fichiers qu'ils utilisent^[1]. Cela désactive la surveillance en temps réel et désinstalle l'application Windows Defender. Le comportement par défaut consiste à chiffrer tous les fichiers sur les lecteurs Server Message Block locaux et en réseau, en ignorant les fichiers avec les extensions DLL, .exe, .sys et .lnk^[1] . Il est également capable de cibler des lecteurs spécifiques ainsi que des adresses IP individuelles^[1],[2].

Remédiation

Selon NHS Digital, le seul moyen garanti de récupérer les données est de restaurer tous les fichiers concernés à partir de leur sauvegarde la plus récente^[1].

Fuites

Lors de l'invasion russe de l'Ukraine en 2022, le groupe Conti a annoncé son soutien à la Russie et a menacé de déployer des "mesures de représailles" si des cyberattaques étaient lancées contre le pays^[5],[6]. En conséquence, environ 60 000 messages des journaux de discussion internes ont été divulgués par une personne anonyme qui a indiqué son soutien à l'Ukraine^[7],[8],[9] ainsi que le code source et d'autres fichiers utilisés par le groupe^{[10],[6],[11]}.

Les fuites couvrent la période allant du début de 2020 au 27 février 2022 et consistent en plus de 60 000 messages de chat^[6]. La plupart des messages divulgués sont des messages directs envoyés via Jabber^[6]. Les attaques ont été coordonnées à l'aide de Rocket.Chat^[6]. Les fuites sont fragmentées^[6].

Certains des messages discutent des actions de Cozy Bear dans le piratage des chercheurs sur COVID-19^[12]. Kimberly Goody, directrice de l'analyse de la cybercriminalité chez Mandiant, affirme que les références à une source externe anonyme dans les journaux pourraient être utiles au gang^[12]. Elle mentionne les fuites de l'avenue Liteyny à Saint-Pétersbourg, qui abrite les bureaux locaux du FSB, comme preuve que la source externe pourrait être le gouvernement russe^[12].

Les documents extraits des fuites incluent le soutien à Vladimir Poutine, Vladimir Zhirinovsky, l'antisémitisme (y compris envers Volodymyr Zelenskyy )^[13]. Un membre connu sous le nom de Patrick a répété plusieurs fausses affirmations faites par Poutine au sujet de l'Ukraine^[13]. Patrick vit en Australie et est peut-être un citoyen russe^[13].

Certains messages montrent une obsession pour Brian Krebs^[13].

Les messages utilisent massivement le mat^[13]. Des messages contenant de l'homophobie, de la misogynie et des références à la maltraitance des enfants ont également été trouvés^[13].

Adhésion et structure

Le membre le plus ancien est connu sous les pseudonymes Stern ou Demon et agit en tant que PDG^[6]. Un autre membre connu sous le nom de Mango agit en tant que directeur général et communique fréquemment avec Stern^[6]. Mango a déclaré à Stern dans un message qu'il y avait 62 personnes dans l'équipe principale^[6]. Les nombres impliqués fluctuent, atteignant jusqu'à 100 personnes^[6]. En raison du roulement constant de ses membres, le groupe recrute constamment à partir de sites de recrutement légitimes et de sites de hackers^[6].

Les programmeurs ordinaires gagnent environ 1 500 à 2 000 dollars par mois, et les membres négociant des paiements de rançon peuvent prendre une part des bénéfices^[6]. En avril 2021, un membre a affirmé avoir un journaliste anonyme qui a pris une part de 5% des paiements de rançongiciel en faisant pression sur les victimes pour qu'elles paient^[6].

En mai 2022, le gouvernement des États-Unis a offert une récompense allant jusqu'à 15 millions de dollars pour des informations sur le groupe : 10 millions de dollars pour l'identité ou l'emplacement de ses dirigeants, et 5 millions de dollars pour des informations conduisant à l'arrestation de toute personne conspirant avec lui^[14].

Cibles connues

• Agence écossaise de protection de l'environnement^[4]
• Fat Face^[4]
• Health Service Executive en république d'Irlande^[4] .
• Conseil de santé du district de Waikato en Nouvelle-Zélande^[15].
• Shutterfly^[16].
• KP Snacks (en)^[17].
• Nordic Choice Hotels (en)^[18].

Notes et références

Traduction

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Conti (ransomware) » (voir la liste des auteurs).

Références

1. (en) « Conti Ransomware », NHS Digital, NHS Digital, 9 juillet 2020 (consulté le 14 mai 2021)
2. (en) « Conti ransomware uses 32 simultaneous CPU threads for blazing-fast encryption », 9 juillet 2020 (consulté le 14 mai 2021)
3. (en) Catalin Cimpanu, « Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites », ZDNet,‎ 25 août 2020 (lire en ligne, consulté le 15 mai 2021)
4. (en) Gareth Corfield, « Hospitals cancel outpatient appointments as Irish health service struck by ransomware », The Register, 14 mai 2021 (consulté le 15 mai 2021)
5. (en) Reichert, « Conti Ransomware Group Warns Retaliation if West Launches Cyberattack on Russia », CNET, 25 février 2022 (consulté le 2 mars 2022)
6. (en) Burgess, Matt, « The Workaday Life of the World's Most Dangerous Ransomware Gang. », Wired UK, 16 mars 2022 (consulté le 21 mars 2022)
7. (en) Corfield, « 60,000 Conti ransomware gang messages leaked », The Register, 28 février 2022 (consulté le 2 mars 2022)
8. (en) Humphries, « Backing Russia Backfires as Conti Ransomware Gang Internal Chats Leak », PCMag, 28 février 2022 (consulté le 2 mars 2022)
9. (en) Faife, « A ransomware group paid the price for backing Russia », The Verge, 28 février 2022 (consulté le 2 mars 2022)
10. (en) « The Conti ransomware leaks », Malwarebytes, 1^er mars 2022 (consulté le 2 mars 2022)
11. 'I can fight with a keyboard': How one Ukrainian IT specialist exposed a notorious Russian ransomware gang CNN. 2022.
12. Matt Burgess, « Leaked Ransomware Docs Show Conti Helping Putin From the Shadows », Wired UK,‎ 18 mars 2022 (lire en ligne, consulté le 21 mars 2022)
13. « Leaked Chats Show Russian Ransomware Gang Discussing Putin’s Invasion of Ukraine », The Intercept, 14 mars 2022 (consulté le 21 mars 2022)
14. (en) Eric Beech, « U.S. offers $15 million reward for information on Conti ransomware group », 7 mai 2022
15. « Waikato hospitals hit by cyber security incident », Radio New Zealand,‎ 18 mai 2021 (lire en ligne, consulté le 18 mai 2021)
16. « Shutterfly services disrupted by Conti ransomware attack », Bleeping Computer,‎ 27 décembre 2021 (lire en ligne, consulté le 27 décembre 2021)
17. « KP Snacks giant hit by Conti ransomware », Bleeping Computer,‎ 22 janvier 2022 (lire en ligne, consulté le 22 janvier 2022)
18. (en-US) Catherine Stupp, « Inside a Ransomware Hit at Nordic Choice Hotels », Wall Street Journal,‎ 12 janvier 2022 (ISSN 0099-9660, lire en ligne, consulté le 15 juillet 2022)

Annexes

Articles connexes

• REvil
• Hive (groupe pirate)
• AgainstTheWest

•   Portail de la sécurité informatique
•   Portail de la criminologie