L'alerte initialement publiée en septembre 2021 a été réémise cette semaine par le CISA, le FBI, la NSA et les services secrets américains. L'alerte contient des détails techniques sur les attaques de Conti, ainsi que des indicateurs de compromission (IoC) qui peuvent être utiles aux défenseurs.
Peu après l'invasion de l'Ukraine par la Russie, le groupe Conti a annoncé son soutien à la Russie, menaçant d'attaquer les infrastructures critiques des « ennemis ». Ils ont ensuite révisé leur déclaration pour dire qu'ils condamnaient la guerre. Mais la menace de lancer des cyberopérations en réponse aux actions de l'Occident est demeurée valide.
A malin, malin et demi
Quelques jours après l'annonce de Conti, un individu - un chercheur ukrainien en sécurité ou peut-être un membre du groupe Conti - a commencé à divulguer des fichiers liés aux opérations du gang. Les fuites ont commencé par des journaux de discussion le 27 février et se sont poursuivies avec d'autres fichiers, notamment le code source du ransomware de Conti, le 1er mars.
Une menace réelle
Le gouvernement américain a déclaré dans son alerte actualisée que les acteurs de la menace Conti restaient actifs, le nombre de leurs victimes s'élevant à plus de 1 000. La société MDR eSentire a indiqué cette semaine que le groupe Conti avait annoncé des attaques contre plus de 50 organisations entre le 27 novembre 2021 et le 28 février 2022. Conti continue d'annoncer de nouvelles victimes sur son site Web, avec neuf nouvelles cibles nommées rien que cette semaine, dont deux le 10 mars.
« Décryptage »
La fuite de données semble avoir eu au moins un certain impact sur Conti, qui, comme le montrent les fichiers divulgués, fonctionne comme une entreprise, avec des entrepreneurs, des employés et des problèmes de RH. Les fichiers divulgués ont permis aux chercheurs de procéder à une analyse détaillée des outils, des méthodes et des projets du groupe. La société de réponse aux incidents BreachQuest a publié un rapport décrivant la direction et la hiérarchie de Conti, l'infrastructure organisationnelle, les transactions en bitcoins, les logiciels malveillants et autres outils. L'analyse des fichiers divulgués par BreachQuest a montré que Conti a dépensé environ 6 millions de dollars en salaires d'employés, en outillage et en services professionnels au cours de la seule année dernière. La société de renseignement sur les menaces Cyberint a également procédé à une analyse des fichiers divulgués. Ses chercheurs ont déclaré que si Conti semblait initialement ne pas être affecté par les fuites, la haute direction du groupe « a décidé d'atténuer les dommages et a essayé de couvrir toute piste qui pourrait mener à des membres du groupe ». Il convient de noter que la personne qui a divulgué les fichiers de Conti a également rendu publique l'identité d'un individu qui serait impliqué dans le développement de logiciels malveillants.
« Après les fuites principales, les dernières conversations qui ont été divulguées ont montré que la décision a été prise de se mettre hors réseau pendant un certain temps », ont déclaré les chercheurs de Cyberint. « Il semble que les membres clés du groupe fassent des efforts pour s'assurer que tous les fichiers pertinents sont supprimés, que tous les liens partagés dans les conversations sont morts, que tous les serveurs utilisés pour l'infrastructure de l'organisation sont hors service ». Sur la base des échanges entre les membres de l'organisation cybercriminelle, Cyberint a déclaré qu'un élément du groupe serait à l'origine de la fuite. Selon la société de cybersécurité, on ne sait pas si les victimes nommées récemment sur le site Web de Conti sont nouvelles ou si elles ont été compromises avant la fuite.
« D'une manière ou d'une autre, Conti va consacrer ses efforts, dans les jours ou les semaines à venir, à la reconstruction de son infrastructure et à la relocalisation de tous ses canaux de communication et de ses sources avec beaucoup de précautions, afin que la recherche ukrainienne ne s'infiltre pas dans cette infrastructure également », a déclaré Cyberint. Il convient donc de redoubler d’attention et de faire preuve d’esprit civique dans un cadre coopératif afin de protéger nos infrastructures et les données attenantes particulièrement au niveau des organisations sanitaires et sociales (hôpitaux, cliniques, agences d’Etat (Etablissement français du sang), assurance maladie, CNSA, etc.).
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature