Conti (rançongiciel)
Conti est un rançongiciel observé depuis 2020, qui serait distribué par un groupe basé en Russie. Par extension le groupe de pirates utilisant ce rançongiciel se dénomme de la même manière[1],[2]. Toutes les versions de Microsoft Windows sont connues pour être affectées[1]. Le gouvernement des États-Unis a offert une récompense pouvant aller jusqu'à 10 millions de dollars pour des informations sur le groupe début mai 2022.
Détails de la menace
modifierLe logiciel utilise sa propre implémentation d'AES-256 qui utilise jusqu'à 32 threads logiques individuels, ce qui le rend beaucoup plus rapide que la plupart des rançongiciels[1]. Le mode de fonctionnement n'est pas clair[1].
Le gang derrière Conti exploite un site à partir duquel il peut divulguer des documents copiés par le rançongiciel depuis 2020[3]. Le même gang a exploité le rançongiciel Ryuk[3]. Le groupe est connu sous le nom de Wizard Spider et est basé à Saint-Pétersbourg, en Russie[4].
Comportement
modifierUne fois sur un système, le rançongiciel essaie de supprimer les clichés instantanés de volume[1]. Il essaie de mettre fin à un certain nombre de services à l'aide de Restart Manager pour s'assurer qu'il peut chiffrer les fichiers qu'ils utilisent[1]. Cela désactive la surveillance en temps réel et désinstalle l'application Windows Defender. Le comportement par défaut consiste à chiffrer tous les fichiers sur les lecteurs Server Message Block locaux et en réseau, en ignorant les fichiers avec les extensions DLL, .exe, .sys et .lnk[1] . Il est également capable de cibler des lecteurs spécifiques ainsi que des adresses IP individuelles[1],[2].
Remédiation
modifierSelon NHS Digital, le seul moyen garanti de récupérer les données est de restaurer tous les fichiers concernés à partir de leur sauvegarde la plus récente[1].
Fuites
modifierLors de l'invasion russe de l'Ukraine en 2022, le groupe Conti a annoncé son soutien à la Russie et a menacé de déployer des "mesures de représailles" si des cyberattaques étaient lancées contre le pays[5],[6]. En conséquence, environ 60 000 messages des journaux de discussion internes ont été divulgués par une personne anonyme qui a indiqué son soutien à l'Ukraine[7],[8],[9] ainsi que le code source et d'autres fichiers utilisés par le groupe[10],[6],[11].
Les fuites couvrent la période allant du début de 2020 au 27 février 2022 et consistent en plus de 60 000 messages de chat[6]. La plupart des messages divulgués sont des messages directs envoyés via Jabber[6]. Les attaques ont été coordonnées à l'aide de Rocket.Chat[6]. Les fuites sont fragmentées[6].
Certains des messages discutent des actions de Cozy Bear dans le piratage des chercheurs sur COVID-19[12]. Kimberly Goody, directrice de l'analyse de la cybercriminalité chez Mandiant, affirme que les références à une source externe anonyme dans les journaux pourraient être utiles au gang[12]. Elle mentionne les fuites de l'avenue Liteyny à Saint-Pétersbourg, qui abrite les bureaux locaux du FSB, comme preuve que la source externe pourrait être le gouvernement russe[12].
Les documents extraits des fuites incluent le soutien à Vladimir Poutine, Vladimir Zhirinovsky, l'antisémitisme (y compris envers Volodymyr Zelenskyy )[13]. Un membre connu sous le nom de Patrick a répété plusieurs fausses affirmations faites par Poutine au sujet de l'Ukraine[13]. Patrick vit en Australie et est peut-être un citoyen russe[13].
Certains messages montrent une obsession pour Brian Krebs[13].
Les messages utilisent massivement le mat[13]. Des messages contenant de l'homophobie, de la misogynie et des références à la maltraitance des enfants ont également été trouvés[13].
Adhésion et structure
modifierLe membre le plus ancien est connu sous les pseudonymes Stern ou Demon et agit en tant que PDG[6]. Un autre membre connu sous le nom de Mango agit en tant que directeur général et communique fréquemment avec Stern[6]. Mango a déclaré à Stern dans un message qu'il y avait 62 personnes dans l'équipe principale[6]. Les nombres impliqués fluctuent, atteignant jusqu'à 100 personnes[6]. En raison du roulement constant de ses membres, le groupe recrute constamment à partir de sites de recrutement légitimes et de sites de hackers[6].
Les programmeurs ordinaires gagnent environ 1 500 à 2 000 dollars par mois, et les membres négociant des paiements de rançon peuvent prendre une part des bénéfices[6]. En avril 2021, un membre a affirmé avoir un journaliste anonyme qui a pris une part de 5% des paiements de rançongiciel en faisant pression sur les victimes pour qu'elles paient[6].
En mai 2022, le gouvernement des États-Unis a offert une récompense allant jusqu'à 15 millions de dollars pour des informations sur le groupe : 10 millions de dollars pour l'identité ou l'emplacement de ses dirigeants, et 5 millions de dollars pour des informations conduisant à l'arrestation de toute personne conspirant avec lui[14].
Cibles connues
modifier- Agence écossaise de protection de l'environnement[4]
- Fat Face[4]
- Health Service Executive en république d'Irlande[4] .
- Conseil de santé du district de Waikato en Nouvelle-Zélande[15].
- Shutterfly[16].
- KP Snacks (en)[17].
- Nordic Choice Hotels (en)[18].
Notes et références
modifierTraduction
modifier- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Conti (ransomware) » (voir la liste des auteurs).
Références
modifier- (en) « Conti Ransomware », NHS Digital, NHS Digital, (consulté le )
- (en) « Conti ransomware uses 32 simultaneous CPU threads for blazing-fast encryption », (consulté le )
- (en) Catalin Cimpanu, « Conti (Ryuk) joins the ranks of ransomware gangs operating data leak sites », ZDNet, (lire en ligne, consulté le )
- (en) Gareth Corfield, « Hospitals cancel outpatient appointments as Irish health service struck by ransomware », The Register, (consulté le )
- (en) Reichert, « Conti Ransomware Group Warns Retaliation if West Launches Cyberattack on Russia », CNET, (consulté le )
- (en) Burgess, Matt, « The Workaday Life of the World's Most Dangerous Ransomware Gang. », Wired UK, (consulté le )
- (en) Corfield, « 60,000 Conti ransomware gang messages leaked », The Register, (consulté le )
- (en) Humphries, « Backing Russia Backfires as Conti Ransomware Gang Internal Chats Leak », PCMag, (consulté le )
- (en) Faife, « A ransomware group paid the price for backing Russia », The Verge, (consulté le )
- (en) « The Conti ransomware leaks », Malwarebytes, (consulté le )
- 'I can fight with a keyboard': How one Ukrainian IT specialist exposed a notorious Russian ransomware gang CNN. 2022.
- Matt Burgess, « Leaked Ransomware Docs Show Conti Helping Putin From the Shadows », Wired UK, (lire en ligne, consulté le )
- « Leaked Chats Show Russian Ransomware Gang Discussing Putin’s Invasion of Ukraine », The Intercept, (consulté le )
- (en) Eric Beech, « U.S. offers $15 million reward for information on Conti ransomware group »,
- « Waikato hospitals hit by cyber security incident », Radio New Zealand, (lire en ligne, consulté le )
- « Shutterfly services disrupted by Conti ransomware attack », Bleeping Computer, (lire en ligne, consulté le )
- « KP Snacks giant hit by Conti ransomware », Bleeping Computer, (lire en ligne, consulté le )
- (en-US) Catherine Stupp, « Inside a Ransomware Hit at Nordic Choice Hotels », Wall Street Journal, (ISSN 0099-9660, lire en ligne, consulté le )