Détails de l’affilié conti ransomware publié

Deux sociétés de cybersécurité ont conjointement dévoilé des détails sur une filiale anonyme du gang de ransomware Conti, qui, selon elles, a utilisé l’infrastructure Cobalt Strike pour attaquer sept entreprises basées aux États-Unis.

L’unité de réponse aux menaces (TRU) d’eSentire a déclaré qu’elle suivait la filiale depuis août 2021 et a commencé à partager ses conclusions avec BreakPoint Lab après avoir découvert que la société enquêtait indépendamment sur le même groupe.

Leur enquête conjointe a fourni de nouvelles informations sur la filiale Conti, y compris des adresses IP spécifiques, des noms de domaine et des comptes de messagerie Protonmail qu’elle utilise, ainsi que des détails sur les vulnérabilités utilisées pour mener ses attaques.

Cela inclut SonicWall Exploits, Cobalt Strike, l’utilisation de serveurs VPS pour la commande et le contrôle (C2), C2Concealer de Forty North et Bring Your Own Virtual Machine (BYOVM).

La première attaque menée par l’affilié semble avoir eu lieu en juillet 2021, lorsque l’acteur de la menace a lancé une opération Cobalt Strike qui a compromis quatre organisations financières via leur fournisseur de technologie partagée, qui avait déployé SonicWall en tant que VPN pour aider à gérer leurs environnements informatiques.

Bien que les acteurs de la menace aient pu supprimer les sauvegardes stockées dans le cloud avant de déployer un ransomware, les sociétés financières ont pu restaurer à partir d’autres sauvegardes plus récentes. Parmi les autres victimes de l’affilié figurent des entreprises des secteurs environnemental, juridique et caritatif.

Selon les entreprises de cybersécurité, l’attaque la plus récente a eu lieu le jour de la Saint-Valentin 2022, lorsque le TRU a intercepté une attaque tirant parti de l’infrastructure Cobalt Strike dans le but de violer un organisme de bienfaisance pour enfants, puis, quelques heures plus tard, un cabinet d’avocats.

« La rapidité et l’efficacité des actions d’intrusion et de la gestion de l’infrastructure indiquent un déploiement automatisé et à grande échelle de configurations Cobalt Strike personnalisées et de ses vecteurs d’accès initiaux associés », a déclaré eSentire dans un article de blog. « Les choix de personnalisation incluent des certificats légitimes, des ports CS non standard et une commande et un contrôle malléables. »

Bien que Cobalt Strike soit un logiciel d’émulation de menace légitime utilisé pour les simulations d’adversaires et les systèmes Windows de test d’intrusion, des versions fissurées de l’outil développé par HelpSystems ont commencé à être utilisées par les gangs de ransomware et autres cybercriminels au cours des 18 derniers mois.

eSentire a déclaré dans son article de blog que Cobalt Strike devenait de plus en plus populaire parmi les gangs de ransomwares en raison des « intrusions organisationnelles à grande échelle » qu’il permet et de la capacité qu’il donne d’échapper à la sécurité du réseau et des terminaux, regroupant essentiellement la plupart des fonctionnalités attendues dans d’autres logiciels malveillants en un seul endroit.

« Les acteurs de la menace n’ont qu’à fournir Cobalt Strike’s Beacon – une porte dérobée hautement configurable qui permet aux attaquants de contrôler silencieusement et à distance les points de terminaison et d’injecter d’autres outils d’attaquant – en tant que charge utile du vecteur d’accès initial qu’ils ont choisi, et Beacon pointera vers un Serveur Team Server contrôlé par un attaquant, où les attaquants peuvent se connecter et les intrusions peuvent être orchestrées, », a-t-il déclaré.

« En raison de la simplicité relative de Cobalt Strike, il permet aux acteurs de menaces de niveau inférieur d’agir dans des rôles de soutien aux opérations de ransomware, permettant aux gangs de ransomware d’étendre leurs opérations et d’accroître leur efficacité. »

Tru d’eSentire a déjà publié un rapport sur Conti le 7 mars 2022, avertissant à la fois les clients et les organisations d’infrastructures critiques que le gang continuait à lancer des attaques contre des terminaux pétroliers, des sociétés pharmaceutiques, des fabricants de produits alimentaires, des fournisseurs de services informatiques et autres.

Cela a précédé une alerte de la Cybersecurity and Infrastructure Security Agency (CISA) sur Conti le 9 mars, qui a averti les organisations de revoir leur avis et d’appliquer les mesures d’atténuation recommandées.

L’alerte CISA a déclaré: « Les acteurs de la cybermenace Conti restent actifs et les attaques de ransomware Conti contre les organisations américaines et internationales ont atteint plus de 1 000. Les vecteurs d’attaque notables incluent Trickbot et Cobalt Strike.

Conti a déclaré son allégeance à l’État russe immédiatement après l’invasion illégale de l’Ukraine par Vladimir Poutine.