Qu’est-ce que le ransomware Conti ?

Dans le contexte de la cybersécurité, Conti évoque des groupes de pirates informatiques malveillants capables de paralyser les systèmes et les réseaux les plus sécurisés. Il décrit également un ransomware sophistiqué développé et utilisé par les criminels mentionnés précédemment pour cibler des entreprises à travers le monde. Bien qu’il n’ait été actif que pendant quelques années, le groupe de ransomware Conti, soutenu par la Russie, a utilisé des outils malveillants de tous types et des tactiques d’extorsion agressives pour s’emparer de centaines de millions de dollars. Alors que le groupe a disparu aujourd’hui, Conti et d’autres outils de ransomware similaires sont bien vivants.

Lorsqu’un cybercriminel déploie Conti sur le réseau d’une victime, il se propage rapidement tout en chiffrant et en transférant des données vers un emplacement distant. L'objectif est de prendre le contrôle total des données de la victime, ce qui mène à une demande de rançon sous forme d'extorsion double. Sans clé de déchiffrement, les victimes ne peuvent plus accéder aux données. Entre-temps, comme l’attaquant a également téléchargé les données, il ajoute à sa tentative d’extorsion en menaçant de divulguer des informations confidentielles. Alors que les deux scénarios (perte d’accès aux données et fuite d’informations confidentielles) peuvent causer de sérieux dommages à une entreprise, payer une rançon n’arrange généralement pas la situation.

Fonctionnement

Le groupe Conti opérait sous la forme d’un programme d’affiliation RaaS (Ransomware-as-a-Service). Le groupe est apparu en 2019, il a pris la relève d'un autre gang et a commencé à proposer la technologie sophistiquée du ransomware Conti à la vente ou à la location à des affiliés chargés de mener les attaques. Une attaque nécessite le déploiement du ransomware Conti, bien que dans la plupart des cas, un acteur humain intervienne pour pénétrer les systèmes en utilisant divers outils et techniques.

Pour cette raison, les entreprises doivent se préparer à toutes les éventualités. Un excellent point de départ est l'infrastructure ATT&CK, développée par l'organisation à but non lucratif MITER. Cette infrastructure constitue une base de connaissances complète sur les attaques et les stratégies de réponse. Il a été développé en observant des cyberattaques réelles et offre des procédures détaillées pour aider les entreprises à identifier ces menaces et à s’en défendre.

Accès initial

Lors d’une attaque par ransomware, les attaquants tentent d’accéder au réseau de leur victime. Une approche classique consiste à lancer des attaques de phishing via des e-mails contenant un document Word ou un fichier zip apparemment inoffensif en pièce jointe. Cependant, ces pièces jointes sont des logiciels malveillants qui déploient des exploits de premier niveau, tels que Cobalt Strike. Une autre approche consiste à rechercher les ports RDP ouverts au moyen d’analyses réseau et à les utiliser pour se connecter avec des informations d’identification volées. Une fois à l’intérieur, les attaquants utilisent une variété d’outils (à la fois malveillants et open source) pour naviguer dans le réseau, localiser les stockages de données et compromettre la sécurité. C'est pourquoi un approvisionnement rigoureux et une sécurité renforcée sont indispensables pour les entreprises offrant un accès à leurs collaborateurs distants.

D’autres techniques tirent parti des faiblesses des outils standard tels qu’Active Directory qui stocke les hachages de mots de passe sur disque et en mémoire. Ces derniers peuvent être facilement récupérés avec des outils tels que mimikitz, fournissant aux attaquants des informations d’identification d’administration et un large accès au réseau et à ses données. Pour toute entreprise utilisant Windows Server, déployer une protection interne pour Active Directory est une sage décision.

Mouvement latéral

Une fois que les attaquants pénètrent dans un réseau, ils déploient le ransomware Conti, ce qui lui permet de se propager sur l’ensemble du réseau. Au fur et à mesure qu’il se propage, le code avancé de Conti utilise une technique de multithreading pour chiffrer rapidement les données et utilise plusieurs techniques d’obscurcissement pour échapper à diverses couches de sécurité. Cette stratégie maximise les dégâts causés par Conti avant que les solutions de point de terminaison ne puissent détecter et arrêter l'attaque.

Conti doit sa rapidité et son efficacité à sa capacité de propagation latérale sur un réseau, en particulier grâce au protocole Server Message Block (SMB). Tous les systèmes Microsoft Windows utilisent le SMB pour communiquer avec des appareils, tels que des imprimantes réseau. Plutôt que de suivre les dispositifs réseau conventionnels, Conti se propage via le protocole SMB, ce qui le rend exceptionnellement difficile à détecter et à contenir. La configuration du paramètre du client SMB de Windows aide à atténuer cette approche latérale. 

Exfiltration et chiffrement

Une fois qu’un réseau est complètement piraté, les attaquants utilisent des outils open source, tels que Rclone, pour exfiltrer les données d’une victime vers un fournisseur de stockage dans le cloud. L’objectif est d’empêcher le signalement par les systèmes de sécurité qui surveillent toute activité réseau suspecte. Dans l’intervalle, les attaquants tentent également de supprimer ou de corrompre les sauvegardes dans le cadre de leur stratégie. Il est donc plus difficile pour les victimes de restaurer les données sans payer la rançon. De nombreuses équipes négligent la stratégie consistant à conserver les sauvegardes sécurisées dans un emplacement isolé, mais cet oubli peut s’avérer coûteux en cas de ransomware.

Extorsion (ransomware)

Les attaquants passent souvent des jours ou des semaines à l'intérieur d'un réseau à chiffrer et transférer des données tout en détruisant les sauvegardes. Le temps qu’ils exigent une rançon, il est déjà trop tard : Les données de la victime sont déjà chiffrées, ce qui les rend inaccessibles sans la clé de déchiffrement. Les attaquants exigent des millions de dollars en échange de cette clé, et comme la perte de telles quantités de données est catastrophique pour toute entreprise, ces demandes sont souvent satisfaites.

Une attaque Conti implique également la menace d’une fuite de données. Les attaquants pratiquent l’extorsion supplémentaire en menaçant de divulguer des informations sensibles si les victimes ne paient pas la rançon demandée. La menace de divulguer des données confidentielles d'entreprise ou de clients pousse de nombreuses entreprises à payer la rançon.

L’histoire et l’avenir des attaques Conti

Le gang de ransomwares Conti s’est imposé comme l’un des groupes de cybercriminels les plus redoutés et les plus notoires de l’histoire. En l’espace de quelques années, le groupe a coordonné de nombreuses attaques très médiatisées, notamment des cyberattaques contre des entreprises, des établissements de santé, des municipalités et même des gouvernements nationaux.

Formation, membres et structure

Apparu vers 2019 ou 2020, le groupe Conti s’est formé pour remplacer Ryuk, un autre gang de ransomware et de pirates informatiques. Tout comme son prédécesseur, la plupart des analystes en sécurité estiment que Conti était dirigé par des pirates informatiques ayant des liens avec la Russie. Opérant sous la forme d’une organisation de ransomware en mode SaaS, le groupe louait sa technologie et son infrastructure à d’autres groupes et pirates qui les utilisaient pour lancer des attaques. Le groupe Conti recevait des commissions pour des attaques réussies.

Une partie de l’infrastructure de Conti était un site Web utilisé pour divulguer des données confidentielles exfiltrées lors d’attaques réussies. Le site a été lancé en août 2020 et, à la fin de la même année, il avait divulgué des données de plus de 150 organisations. S’il n’est pas inhabituel dans le domaine de la cybercriminalité de fournir des logiciels malveillants et des infrastructures à d’autres pirates en échange de profits, l’approche du groupe Conti était unique.

Le groupe Conti a joué un rôle plus actif dans les attaques, allant même jusqu’à embaucher des pirates comme employés. Il a utilisé des pratiques commerciales communes aux entreprises technologiques, s’engageant dans des efforts de recrutement avec des promesses d’avantages sociaux et de salaires élevés. À un moment donné, il y avait un service des ressources humaines actif. Il n’est pas surprenant que le groupe Conti ait été et soit toujours considéré comme un syndicat criminel.

Attaques notables

En mars 2021, Conti a infiltré le Health Service Executive (HSE) d'Irlande, accédant à l'ensemble du réseau, y compris 70 000 appareils. Le 14 mai 2021, Conti avait chiffré des téraoctets de données, désactivant ainsi l’infrastructure de l’hôpital. Conti a déclaré avoir exfiltré plus de 700 Go de données, y compris des informations personnelles sur les patients, les employés et les sous-traitants. Le groupe a exigé 20 millions de dollars pour annuler ses actions.

Micheal Martin, le Premier ministre irlandais de l’époque, a annoncé à la télévision que le gouvernement ne paierait pas la rançon. Le 20 mai, le FBI a publié une déclaration décrivant des attaques similaires de Conti contre les réseaux de soins de santé et de premiers intervenants aux États-Unis et dans le monde, demandant toute information concernant les opérations du groupe.

Le 29 septembre 2021, JVCKenwood a révélé que certains de ses serveurs en Europe avaient été piratés et que les données des clients pourraient avoir été compromises. Le lendemain, le site d'actualités Bleeping Computer a reçu une copie de la note de rançon envoyée à JVCKenwood, identifiant Conti comme les attaquants et les auteurs de la rançon. Le groupe a déclaré dans la note qu’il avait volé près de 2 To de données, pour lesquelles il a exigé $7 millions.

En mai 2021, une attaque similaire s’est produite à Tulsa, dans l’Oklahoma, lorsqu’un ransomware a paralysé le réseau de la ville, entraînant la perturbation de ses systèmes en ligne. Le groupe Conti a revendiqué la responsabilité de l'attaque et a publié près de 19 000 fichiers, principalement des documents officiels et confidentiels au format Word. En réponse, la ville a émis un avertissement indiquant que des informations personnelles avaient été exposées dans les fichiers divulgués.

L’attaque la plus notoire de Conti a eu lieu de la mi-avril à la fin mai 2022. Après avoir enduré des semaines d’attaques au Costa Rica, le gouvernement a déclaré une urgence nationale, le premier pays à le faire en réponse à une cyberattaque. Le gang de ransomware a attaqué les réseaux et les systèmes de dizaines d’organismes gouvernementaux, dont le ministère des Finances et le ministère du Travail et de la Sécurité sociale. Les attaques dévastatrices ont coûté des millions de dollars au gouvernement et ont démontré qu’un groupe de pirates informatiques peut perturber un pays entier.

Rebaptiser

De nombreuses entreprises de cybersécurité estiment que l'attaque du gang Conti contre le Costa Rica était une stratégie complexe visant à détourner l'attention de ses efforts de rebranding (de son changement d'image ou de nom). Juste avant le début de l’attaque, le groupe avait déjà entamé le processus de démantèlement de la marque Conti. En mai 2022, la société de cybersécurité AdvIntel a déclaré qu le groupe de pirates informatiques était officiellement mort.

Bien que personne ne le sache avec certitude, de nombreux experts pensent que le groupe s’est dissous en raison de divisions internes à la suite de l’invasion de l’Ukraine par la Russie le 24 février 2022. Le lendemain du début de l’invasion, Conti a annoncé son soutien à la Russie. Deux jours plus tard, le 27 février, un nouveau compte Twitter a divulgué plus de 170 000 journaux de discussion internes du groupe, ainsi que le code source du ransomware Conti.

La fuite a fourni un trésor d’informations pour les analystes de sécurité, y compris les outils et les méthodes exacts utilisés par les pirates informatiques pour infiltrer les organisations du monde entier. Cela a également démontré à quel point le groupe était bien organisé, fonctionnant comme une start-up de haute technologie avec des postes et des hiérarchies établis, y compris des codeurs, des administrateurs système, des recruteurs et des cadres.

Le 24 juin, un mois après la fin de l'attaque contre le Costa Rica, le dernier des sites web du groupe Conti a été fermé, marquant la fin de l'un des syndicats de cybercriminalité les plus notoires de l'histoire. Mais les cybercriminels anonymes qui ont fait de Conti ce qu'il était n'ont ni été emprisonnés ni disparus. Alors que leur attaque finale était en cours, ils se sont tranquillement dispersés, passant à de nouveaux groupes et gangs.

Comment détecter une attaque Conti

Une attaque Conti est, par définition, multiforme. Il s’agit de plusieurs vecteurs d’attaque qui se déroulent généralement sur plusieurs jours. Étant donné que les attaquants utilisent des outils courants et facilement accessibles tout au long de l'attaque, la détection est difficile. Cependant, il existe des signes pour ceux qui savent ce qu’il faut rechercher. Il faut par exemple surveiller attentivement le réseau. Les outils de surveillance en temps réel peuvent alerter les administrateurs lorsqu'un événement atteint un certain seuil, par exemple en cas de tentatives de connexion échouées ou d’analyse de plusieurs ports.

Autre indicateur : la recrudescence des e-mails de phishing. Les attaquants de ransomware utilisent le phishing pour voler des informations d’identification, compromettre les systèmes sur le réseau et obtenir l’accès. Les entreprises peuvent augmenter les chances de détecter une attaque dès les premiers stades en s’assurant que leurs employés identifient et signalent correctement les e-mails suspects, alertant ainsi les équipes de sécurité.

Comment atténuer une attaque Conti

La mise en œuvre de l'authentification multifacteur pour tous les utilisateurs est l'une des mesures les plus efficaces pour protéger votre entreprise contre les attaques par ransomware telles que Conti. L’authentification multifacteur exige que les utilisateurs fournissent deux formes d'identification ou plus pour accéder à des comptes sécurisés, ce qui rend extrêmement difficile pour les pirates informatiques d'obtenir un accès via des mots de passe compromis.

La mise en œuvre et le maintien d'une segmentation réseau robuste constitue une autre étape essentielle pour protéger votre entreprise contre les menaces de ransomware. La segmentation du réseau permet de réduire la propagation des logiciels malveillants en isolant les réseaux et les fonctions les uns des autres, empêchant ainsi le déplacement latéral de ransomwares tels que Conti. 

Voici d’autres stratégies de sécurité :

• Utiliser un logiciel de sécurité : Utilisez des outils EDR (Endpoint Detection and Response) pour accroître la visibilité sur la sécurité des terminaux et vous protéger contre les cybercriminels malveillants. Configurez des programmes antivirus et anti-malware pour effectuer des analyses régulières des actifs réseau avec des signatures à jour.
• Limiter l’accès au réseau : Restreignez le protocole de bureau à distance (RDP) s’il n’est pas utilisé. Si le protocole RDP est jugé nécessaire, limitez les sources d’origine et exigez une authentification multifacteur après avoir évalué les risques.
• Tirer parti des stratégies d’application : Assurez-vous que tous les logiciels connectés au réseau, y compris les systèmes d’exploitation et les applications, soient mis à jour rapidement. Envisagez d’utiliser un système centralisé de gestion des correctifs pour définir des stratégies.
• Gestion de la sécurité des applications : supprimez toutes les applications inutiles des opérations quotidiennes, car les acteurs malveillants de Conti exploitent de nombreux outils par défaut lors des attaques. Pour voir quels logiciels facilement disponibles les cybercriminels utilisent, surveillez la liste des outils de la CISA.

S'assurer que votre entreprise dispose de sauvegardes sécurisées en tant que défense contre les ransomwares est le moyen le plus efficace de neutraliser les impacts de l'extorsion de données. En développant une stratégie de sauvegarde sécurisée et efficace, les entreprises se protègent contre les pertes de données dues au chiffrement et à l’exfiltration.

Que faire en cas d’infection

La cybersécurité est un combat de tous les instants. Les entreprises avec une sécurité renforcée peuvent néanmoins être vulnérables à une nouvelle faille récemment découverte. Savoir gérer une attaque par ransomware peut éviter des situations pires. Le pire scénario serait de payer une rançon.

Les entreprises ne devraient pas payer de rançons en cas d’attaque par ransomware. Des sociétés de sécurité indépendantes, ainsi que la CISA, le FBI et la NSA, le découragent à l’unanimité. Cela encourage de nouvelles attaques de la part des acteurs initiaux et d'autres groupes. Si les individus décident de ne pas fournir la clé de déchiffrement une fois la rançon payée, l’organisation est dans une situation pire qu’au départ.

Au lieu de cela, suivez les étapes ci-dessous, comme recommandé par l’organisation mentionnée ci-dessus :

1. Suivez la liste de contrôle de réponse aux ransomwares dans le Guide conjoint sur les ransomwares.
2. Si possible, analysez les sauvegardes de données à l’aide d’un programme antivirus pour vous assurer qu’elles ne sont pas infectées.
3. Signalez immédiatement l’incident à la CISA, à un bureau local du FBI ou à un bureau local des services secrets des États-Unis.

En cas d’attaque, les entreprises doivent agir rapidement pour limiter les dégâts et éviter leur propagation. Avant de lancer la restauration, il est essentiel d’identifier le type de ransomware concerné et l’étendue des dommages. Il convient de se concentrer en priorité sur la restauration des systèmes et des données les plus critiques, en adoptant une approche stratégique pour minimiser les interruptions et limiter l'impact de l'attaque.

La récupération après une attaque par ransomware est une tâche difficile. Restaurer les systèmes, les services et les données est coûteux en temps et en argent, sans parler des perturbations causées par l’exploitation. La communication avec les parties prenantes et les clients est tout aussi vitale – rétablir les relations est tout aussi important. En résumé, une stratégie complète de sauvegarde et de récupération, combinée à des tests réguliers, minimise les risques d'un scénario catastrophe lors de toute attaque par ransomware.

La réponse de Veeam

La protection la plus efficace contre les attaques par ransomware, comme celles de Conti, est une stratégie solide de sauvegarde et de récupération des données. Avec l'approche de type prévention, détection et restauration de Veeam, les entreprises peuvent atténuer les impacts des ransomwares en empêchant la perte de données due au chiffrement ou à la corruption. Aucune entreprise n’est à l’abri d’une attaque par ransomware. Mais Veeam peut contribuer à protéger les données contre des pertes irréparables et à éviter toute implication avec des groupes de cybercriminels turbulents.