Sommaire
Ceci est le premier de deux articles de blog, où nous nous concentrons sur le groupe de rançongiciels Conti dont le matériel de formation a récemment été divulgué sur un forum de cybercriminalité. Pour fournir un contexte à cette analyse, nous décrivons l’évolution et le succès de Conti depuis son origine. Nous contextualisons ensuite les fuites grâce à nos observations sur les forums clandestins et les analysons en termes de renseignement sur les menaces. Le deuxième article de blog donnera quelques détails sur les techniques utilisées par les opérateurs Conti et comment les détecter.
L’origine du rançongiciel Conti
Conti et Ryuk ont été développés et exploités par un groupe surnommé Wizard Spider par CrowdStrike (alias UNC1878, Grim Spider, Conti gang) et certains affiliés. Wizard Spider a démarré son activité en 2016 en menant des campagnes de fraude financière à l’aide du cheval de Troie bancaire TrickBot¹. Le lien entre Conti et Wizard Spider a été confirmé par Clearsky, à la suite d’une transaction en bitcoins après une attaque de ransomware réussie².
En août 2018, l’acteur qui utilisait auparavant TrickBot a commencé à utiliser un nouveau logiciel de rançon appelé Ryuk pour cibler les grandes organisations, demandant des montants de rançon élevés. Wizard Spider semblait suivre la tendance Big Game Hunting (BGH) lancée par le gang de BitPaymer un an plus tôt³. L’activité de Ryuk a rendu le projet célèbre dans le secteur des ransomwares. Selon Coveware, au premier trimestre 2020, le paiement moyen d’un ransomware pour le compte du groupe était supérieur à 1,3 million de dollars. Durant cette période, on peut noter les attaques contre de grandes entreprises américaines comme Electronic Warfare Associates (EWA), un sous-traitant du gouvernement américain⁴.
Paiement moyen des ransomwares de Phobos, Ryuk & Sodinokibi au T4 2019 et au T1 2020⁵
Le groupe a constamment fait évoluer son arsenal, réagissant aux tentatives de les bloquer. En 2020, ils ont développé BazarLoader, qui a un haut niveau d’obscurcissement. Ils ont également régulièrement ajouté des vulnérabilités connues telles que Eternal Blue, Zerologon et, plus récemment, PrintNightmare à leur arsenal.
Leurs chargeurs étaient souvent livrés par e-mail de phishing ou par des informations d’identification précédemment obtenues à partir de l’activité Emotet ou IcedID. Les affiliés ont probablement utilisé des accès vendus par des courtiers en accès initiaux.
Conti apparaît en février 2020 en tant que successeur de Ryuk utilisant la nouvelle technique de chantage aux données⁶ (alias technique de double extorsion). Ils ont créé un site Web pour publier les données volées en cas de non-paiement de la rançon et pour avoir une belle interface de chat pour communiquer avec les victimes et les autres. Selon les notes de rançon étudiées par SEKOIA, les opérateurs Ryuk communiquaient avec les victimes via des services de messagerie sécurisés tels que Protonmail ou Tutanota.
Menacer de faire fuir des fichiers sensibles est formidable pour augmenter la pression sur les entreprises et donc augmenter la probabilité que la rançon soit payée et augmenter son montant. Notez que Wizard Spider semble considérer le décrypteur de fichiers et la suppression des fichiers volés comme deux services différents.
Ancien site Web
Fuites de Conti Nouveau
(continewsnv5otx5kaoje7krkto2qbu3gtqef22mnr7eaxw3y6ncz3ad[.]onion)
La technique de double extorsion utilisée par Conti a apparemment porté ses fruits : le groupe revendique plus de 150 attaques réussies et 20 millions de dollars de revenus payés d’ici la fin de 2020⁷. D’après nos observations, Conti est le groupe le plus prolifique depuis janvier 2021, avec plus de 300 attaques de ransomware divulguées publiquement cette année.
Ce succès est en partie dû à l’efficacité des outils du groupe. En effet, en 2020, le rançongiciel Conti était l’un des plus rapides à chiffrer un ordinateur en exécutant 32 threads simultanés, en utilisant des clés AES-256 associées à une clé publique RSA-4096. La vitesse de cryptage et d’exfiltration des données est depuis un argument marketing dans la communauté des rançongiciels et a été grandement améliorée par d’autres groupes. Un de rançongiciel Conti est qu’il peut être utilisé en ligne de commande pour chiffrer le disque dur local ou les partages réseau.
Tableau comparatif créé par le groupe LockBit 2.0 (disponible sur leur site internet)
Une autre spécificité qui indique une continuité entre les activités de Ryuk et Conti est l’habitude de Ryuk d’exiger des paiements de rançon proportionnels aux revenus de l’entreprise ciblée qui a continué avec le rançongiciel Conti. Une fois que leurs affiliés ont compromis une cible, ils envoient aux opérateurs un rapport contenant des informations sur la victime :
- Nom, adresse du site Web,
- Nombre de serveurs et de terminaux verrouillés,
- Quantité de données volées et revenus de la cible pour les aider lors de la négociation de la rançon.
Les négociateurs de Conti sont expérimentés et patients. Ils utilisent la technique de l’ancre en fixant un premier prix très élevé et en le négociant. Ils utilisent une rhétorique orientée service, appelant la victime «client» et elle-même «support».
Contrairement à d’autres gangs de rançongiciels, Conti n’a pas hésité à attaquer les hôpitaux pendant la crise du COVID-19⁸.
Une discorde interne à l’origine des fuites du matériel de formation de Conti
Le 5 août 2021, un membre du forum de cybercriminalité XSS connu sous le nom de «m1Geelka» a divulgué le matériel de formation d’un groupe de rançongiciels Conti. Le « manuel » comprend quelques informations sur le mode opératoire de l’un des cartels de rançongiciels les plus performants à l’heure actuelle.
D’après nos observations des discussions entre différents acteurs, «m1Geelka» serait l’un des administrateurs Windows du groupe. Après avoir prétendument travaillé pour Conti (ou comme il le précise, « je suis entré là-dedans pour savoir comment ils fonctionnaient »), «m1Geelka» a jugé la formule de rémunération injuste et a décidé de rendre justice aux «partenaires» du groupe.
En fait, la communauté cybercriminelle a répété à plusieurs reprises que la prétendue rémunération de Conti était insuffisante, compte tenu des qualifications recherchées. A partir de 1 500 dollars et de 2 000 dollars pour les profils techniques, les salaires sont cependant constamment ajustés à la hausse, et accompagnés de primes régulières, le tout versé en BTC – précise le groupe.
Malgré tout, «m1Geelka» a été rapidement expulsé de la communauté clandestine russophone. Il a enfreint une règle non écrite qui dicte la loi dans ce milieu : les conflits doivent être résolus par des processus d’arbitrage privés.
Cela nous a également poussés à porter une attention particulière à l’activité la plus récente d’un représentant de Conti sur un forum où il a été particulièrement actif de juin à août 2021. « IT_Work » est le personnage en ligne d’un suspect acteur menaçant qui a géré l’expansion du groupe cet été.
Le profil du représentant de Conti sur le forum XSS, interdit depuis le 6 août 2021
Les activités commerciales liées aux ransomware étant désormais interdites sur cette plateforme, aucune publicité pour les logiciels utilisés, ni aucune spécification sur les pays ou industries ciblés n’ont été vues. Au lieu de cela, nous avons observé une campagne de recrutement massive sur le forum cybercriminel XSS qui est très populaire parmi les opérateurs de rançongiciels cherchant à créer de nouveaux partenariats.
« Nous sommes une petite équipe de recrutement » – « IT_Works » déclare. Il a annoncé «beaucoup de postes vacants» en juin 2021, les candidats ont donc été encouragés à postuler aux offres d’emploi ou à faire des candidatures spontanées. «Aucune formalisation dans le cadre du Code du travail» n’est stipulée, comme pour consoler les uns et prévenir les autres.
Plus d’une douzaine d’offres d’emploi pour le compte de Conti ont été repérées en moins de deux mois, révélant une structure de groupe hautement spécialisée et organisée. Comme on l’observe couramment parmi les groupes de rançongiciels originaires de Russie ou de pays de la Communauté des États indépendants (CEI), la communication est effectuée en russe et les offres d’emploi sont adressées aux «russophones uniquement !”.
Un exemple d’offre d’emploi publiée par un représentant de Conti le 11 juin sur un forum cybercriminel russophone. Traduit du russe, le message se lit comme suit:
«Vacance pour le poste d’analystes commerciaux. Compétences requises: Anglais des affaires (lecture) requis, la conversation est un gros plus ; Connaissance des particularités des affaires aux États-Unis ; Compétences analytiques, souci du détail; Utilisateur PC avancé. Responsabilités: Analyse des marchés B2B; Analyse des états financiers des entreprises et autres données publiques obtenues auprès des institutions gouvernementales ; L’élaboration de cas sur des acteurs clés des marchés financiers et industriels […] »
L’examen attentif de ces messages permet de dresser un portrait sommaire de la structure interne de Conti, qui peut être imaginée comme suit :
Un aperçu de la façon dont le Groupe Conti est structuré, basé sur des déclarations récemment faites par ses représentants sur différents forums cybercriminels.
C’est un peu hors des offres d’emploi ordinaires que d’autres groupes de rançongiciels publient (le plus souvent pour des postes de pentester). Le poste d’administrateur Asterisk est particulièrement intéressant. Sur la base d’une annonce de juillet 2021 de Conti, un service VoIP Asterisk dédié était en cours de développement, probablement pour initier des conversations téléphoniques avec les victimes ou les partenaires ou employés de la victime, afin de mettre plus de pression sur eux. Les acteurs de la menace sont particulièrement intéressés par la fonctionnalité « Rappel automatique » du framework Asterisk pour mettre le numéro de téléphone en numérotation automatique à plusieurs reprises, jusqu’à ce que l’appelé décroche le téléphone.
Le groupe recherche également des concepteurs Web avec des «idées vraiment créatives» et des concepteurs UI/UX «pour concevoir des mises en page de sites Web et des interfaces utilisateur individuelles d’applications Web».
Pour étudier l’activité des victimes potentielles ou pour analyser celles déjà attaquées, des Business Analysts sont recherchés. Ils doivent maîtriser l’anglais et connaître les particularités des affaires aux États-Unis, avoir de bonnes capacités d’analyse et «prêter attention aux détails». Les analystes commerciaux travaillant pour Conti prospectent le marché B2B, collectent et analysent les états financiers des entreprises et d’autres données publiques obtenues auprès des institutions gouvernementale. Ils rédigent également des dossiers sur les principaux acteurs des marchés financiers et industriels, selon «IT_Works».
Ce qui est également tout à fait unique, c’est l’approche d’entreprise bien structurée adoptée par Conti : leurs « partenaires » ont des congés payés et des congés de maladie. Ils ont généralement un horaire de travail de 15h à 1h du matin, du lundi au vendredi, à distance uniquement.
Que nous disent les Conti leaks ?
Suite à la première publication de fuite, nous avons décidé d’analyser son contenu et avons essayé d’évaluer son utilité en termes de renseignement et de détection des menaces.
L’archive, récupérée par vx-underground⁹, contient une majorité de fichiers texte écrits en russe, quelques archives, binaires, scripts et logiciels (par exemple Cobalt Strike 4.3, Router Scan), et ce qui ressemble à un manuel non structuré expliquant à Conti affiliés comment fonctionner.
Contenu de l’archive
Une traduction publique rapide en anglais¹⁰ a été mise à disposition pour organiser la fuite avec trois étapes d’attaque principales : augmentation des privilèges et de la collecte d’informations, téléchargement des données et verrouillage. Pour chaque étape, chaque manuel fournit un ou plusieurs outils/techniques pour atteindre l’objectif avec une sorte d’approche des meilleures pratiques et une collection des meilleurs outils à utiliser.
Il n’y a pas de nouvel outil ou technique à découvrir, tout est assez ancien et réputé (ex : Mimikatz) et devrait déjà être détecté. Bien qu’ils soient à jour avec la dernière vulnérabilité et disposent d’un manuel pour « PrintNightmare » (CVE-2021-34527, qui n’est toujours pas corrigé par un correctif approprié de Microsoft). De toute évidence, ils essaient également d’utiliser autant que possible les outils intégrés de Microsoft pour se fondre dans des activités légitimes afin d’éviter la détection (par exemple , powershell, wmi).
Certaines recommandations sont faites en termes de sécurité opérationnelle dans les fichiers manuels traduits par « Anonymat pour le paranoïaque » et « Sécurité personnelle » (non disponible dans la traduction publique en anglais) :
quelques notes sur des articles sur l’anonymat pour le paranoïaque :
- la tâche n’est pas de se cacher (il reste ne fonctionnera pas), mais de se fondre dans la foule. Donc, en désactivant webrtc, Javascript, Flash, etc., attirez simplement plus d’attention sur vous-même. Vous ne devez PAS vous DÉCONNECTER, mais CHANGER ce qui vous permet d’être détecté.
- Concernant Kali et d’autres systèmes d’exploitation pour les pirates. Il y a un groupe de personnes (Hackers) qui doit être suivi. Techniquement, ce problème est difficile à résoudre. Il est plus facile de jouer sur la faiblesse humaine (la paresse) et de rassembler tout le monde en proposant une solution correctement annoncée, pratique, toute faite et populaire. Je pense que l’idée est claire. Je vous conseille d’utiliser Debian ou de construire quelque chose de votre côté.
Je pense que tout le monde ici travaille via une machine virtuelle. Par conséquent, je vous conseille d’installer la machine virtuelle sur le volume chiffré à l’aide de VeraCrypt.
1 télécharger Veracrypt
2 vous devrez allouer de l’espace sur votre disque pour un fichier / ou crypter l’intégralité du disque à la fois
Une règle importante est que vous devrez réinstaller la machine virtuelle, car, malheureusement, lorsque vous crypterez votre ancienne machine virtuelle de travail machine, une erreur insurmontable apparaîtra dans le code et elle ne démarrera plus. Ce n’est pas un gros problème, car vous pouvez récupérer tous vos fichiers à partir de l’image de votre ancienne machine virtuelle via 7ZIP.
Parce qu’ils recherchent des comptes d’administrateur, ils sont également prudents quant à leur réaction. Dans l’extrait suivant du « Hunting admins, s’il vous plaît lire, très utile !! » manuel, un avertissement très explicite est fait pour dissuader un attaquant de se connecter directement à une session informatique d’un administrateur :
Vient ensuite un POINT IMPORTANT.
Tout d’abord, les débutants essaient d’y monter une session et attrapent TRÈS SOUVENT une alerte. Alerte à l’admin = coupure du réseau, perte de temps, nerfs. Ne faites pas cela!
Ce que nous allons faire, c’est l’interroger via le système de fichiers.
Mais en même temps, ils pourraient opter pour une force brute en direct des comptes si nécessaire, et comme l’ont remarqué d’autres chercheurs¹¹, utiliser le même exemple de répertoire (dire « ProgramData ») pour toutes leurs sorties de commande, ce qui conduit probablement à beaucoup de copie /pâte.
Exemple d’utilisation du répertoire « ProgramData »
Leurs méthodes de découverte, de collecte et d’exfiltration correspondent beaucoup à celles d’autres groupes de rançongiciels et la plupart du temps, les techniques décrites visent l’efficacité plus que la furtivité.
Dans l’ensemble, l’archive révèle un regard d’initié intéressant sur certaines opérations d’attaque de ransomware où les attaquants recherchent les points de défense les plus faibles. Cela confirme également que la plupart des techniques de ces groupes sont connues et offrent de nombreuses opportunités de détection. Cela devrait à nouveau nous rappeler, en tant que défenseurs, sur quoi nous concentrer.
La deuxième fuite¹² n’a pas été aussi utile : il s’agit de 27 Go de fichiers vidéo principalement didacticiels provenant de plusieurs sources (gratuites ou payantes), enseignant sur les tests d’intrusion (par exemple , Metasploit, Cobalt Strike, réseau) et la rétro-ingénierie. Certaines sources sont en anglais tandis que d’autres sont en russe mais aucune ne semble spécifique à Conti. En effet, le contenu de cette fuite confirme que les recruteurs de Conti recherchent également des débutants qui seront ensuite formés en suivant ces tutoriels, comme indiqué sur un forum cybercriminel :
Traduit du russe, le post se lit comme suit : « Le recrutement de pentesters continue. […] Que vous soyez un professionnel ou un débutant, peu importe. Nous avons une approche individuelle pour chacun. Nous allons enseigner et aider, nous avons besoin de gars qui veulent progresser dans une coopération à long terme ! ».
Conclusion
Les fuites de Conti sont une excellente source de connaissances pour en savoir plus sur le fonctionnement général des cartels de ransomware. Il donne un bon aperçu de la façon dont ils gèrent leurs opérations, comment ils sont organisés et les techniques utilisées dans ces opérations. Cela suscitera probablement l’intérêt d’autres acteurs de la menace qui pourraient entrer sur la scène des ransomware en adoptant un modus operandi qui, jusqu’à présent du moins, a très bien fonctionné.
Dans la deuxième partie de cette série de blogs, nous aborderons certaines techniques utilisées par Conti lors de la première fuite et les opportunités de détection pour chacune.
Lire :
- Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
- Marcher sur les empreintes de l’infrastructure APT31
- La chaîne d’infection EnvyScout de NOBELIUM entre dans le registre, ciblant les ambassades.
- Ransomware Conti, connecteurs et processus d’idéation… les nouveautés de septembre 2021
- Un aperçu d’initié sur les opérations de Conti – Deuxième partie.
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- Comment nous avons rendu les déploiements plus sûrs à SEKOIA.IO ?
- Enrichissez votre Graylog avec SEKOIA.IO
- Une guerre sur plusieurs fronts – le paysage turbulent de la cybercriminalité
- Focus sur les cyberattaques ayant impacté les collectivités territoriales françaises en 2020
- Invasion de l’Ukraine – quelles implications dans le cyberespace ?
- L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 1)
- L’histoire d’un constructeur de ransomware : de Thanos à Spook et au-delà (Partie 2)
- Migrer votre sécurité dans le cloud ?
- Ransomware : un retour en force depuis la rentrée
- Ransomware : explosion d’attaques à double extorsion
- SIGMA, design et MITRE ATT&CK… nouveautés de la plateforme XDR et CTI
- Amélioration de la détection des menaces avec Sigma correlation