Que se passe-t-il avec Conti et REvil, et devrions-nous nous inquiéter?

Fuite de données

Les analystes de l’Unité de contre-menace (CTU) de Secureworks ont récemment révélé que le site de fuite Conti a répertorié en moyenne 43 victimes chaque mois en 2021, avec un pic de 95 en novembre, avant de chuter pendant la période de Noël. Il a ensuite repris jusqu’au 27 février 2022, lorsque le @ContiLeaks compte Twitter a commencé à divulguer des données. Malgré cela, le nombre de victimes postées en mars a grimpé à plus de 70.

« Bien que ces types de fuites aient pu inciter certains groupes de menaces à modifier leurs méthodes de communication ou leurs outils, Gold Ulrick semble avoir continué et même augmenté le rythme de ses opérations sans interruption », a déclaré l’équipe de CTU dans un article de blog récemment mis à jour.

Jordan Conti, membre de Gold Ulrick, a confirmé cette poursuite et l’impact minimal des divulgations dans un message du 31 mars 2022 sur le forum souterrain ramp.

« Les chercheurs de CTU ont déjà observé ce personnage publicitaire Conti, fournissant des mises à jour sur les efforts de retrait et recrutant des affiliés », ont-ils déclaré.

Le post affirme que le site ne répertorie que les victimes qui n’ont pas payé – procédure standard pour un site de double exploitation de nom et de honte – et implique que Conti a un taux de réussite de paiement de 50%, donc deux fois ce nombre de victimes peut exister, bien que l’équipe CTU n’ait pas encore vérifié ces affirmations.

Le personnage de « Jordan Conti » a également indiqué que le gang prévoyait de faire évoluer son ransomware, ses méthodes d’intrusion et ses approches pour travailler avec les données. Cela a été confirmé par les chercheurs Marc Elias, Jambul Tologonov et Alexandre Mundo de Trellix (née McAfee Enterprise), qui ont également récemment publié de nouvelles informations sur le ciblage par Conti des hyperviseurs VMware ESXi avec une variante Linux de son ransomware. L’équipe Trellix a détecté Conti pour Linux téléchargé dans la nature le 4 avril et affirme qu’il s’agit du premier échantillon connu du public.

L’existence de Conti pour Linux n’est pas nouvelle – la première mention d’une variante de Linux remonte à mai 2021 – mais des conversations divulguées entre les membres du gang suggèrent qu’il avait plusieurs bogues et a subi un long processus de développement, y compris des essais en direct sur des victimes du monde réel, dont beaucoup se sont apparemment plaints que lorsqu’ils ont payé la rançon, le décrypteur ne fonctionnait pas correctement.

Dans un cas, le gang a exigé une rançon de 20 millions de dollars, mais a été forcé de se contenter de 1 million de dollars parce que quelque chose s’est mal passé – cette victime particulière a également refusé le décrypteur malgré le paiement.

Trellix a déclaré que ses renseignements renforcent le fait que malgré les fuites et les dommages à la réputation subis, le gang ne va nulle part et a trouvé le temps de continuer à travailler sur son « produit ».

« L’analyse des fuites conti a révélé que les acteurs de la menace ajustent et améliorent continuellement leur variante Linux du ransomware, et il est probable qu’à l’avenir, nous verrons plus de ses actions contre les organisations occidentales », ont-ils déclaré.

« Étant donné que l’échantillon du ransomware Conti que nous avons analysé a récemment été téléchargé sur VirusTotal, nous supposons que le groupe de ransomwares effectue toujours ses campagnes et opérations en cryptant les données d’entreprises du monde entier et en les extorquant une rançon pour leur propre gain personnel. »

REvil: Pas tout ce que cela peut sembler

Pendant ce temps, REvil, ou peut-être plus précisément quelqu’un prétendant être REvil, est réapparu le 20 avril et a été rapidement repéré par la communauté.

Les chercheurs ont rapporté que les serveurs de REvil sur le réseau Tor dirigeaient vers une opération apparemment nouvelle, d’où le manque de clarté à l’heure actuelle quant à ce qui se passe réellement – il peut y avoir des connexions avec des membres encore en liberté du gang REvil, ou même d’autres gangs de ransomware, des indices dont la présence a été déduite.

D’après Bleeping Ordinateur, le site de fuite « Happy Blog » relancé a répertorié 26 victimes (au moment de la rédaction de cet article), bien que certaines d’entre elles semblaient être des victimes plus âgées.

De nombreuses questions restent à se poser sur la prétendue réapparition de REvil, mais une théorie qui a gagné du terrain soutient qu’à la suite de la fermeture des canaux de communication entre les États-Unis et la Russie sur les questions de sécurité il y a quinze jours, Moscou a peut-être donné la permission tacite à REvil de reprendre le ciblage des organisations en Occident.

Chris Morgan, analyste principal des cybermenaces chez Digital Shadows, a déclaré: « Le retour potentiel de REvil coïncide avec la fermeture des canaux de discussion sur les questions de cybersécurité entre les États-Unis et la Russie. Cette décision a probablement été prise en raison de la rupture des relations entre les États-Unis et la Russie à la suite de la guerre en cours entre la Russie et l’Ukraine.

« En conséquence, il est réalistement possible que les autorités russes aient abandonné leur enquête sur le groupe, ou autrement indiqué que REvil pourrait redémarrer leurs opérations.

Morgan a ajouté: « Il n’est actuellement pas clair si le redémarrage de l’infrastructure associée à REvil représente un véritable retour à l’activité pour le groupe, une escroquerie ou une opération potentielle de pot de miel par les forces de l’ordre. »

Conseils de réponse

Bien que l’activité récente de Conti et, soi-disant, de REvil, ait attiré l’attention de la communauté de la sécurité, la résilience des gangs cybercriminels à la suite des mesures prises contre eux est normale, comme cela a été démontré à maintes reprises. Il fallait s’y attendre, dans une certaine mesure.

Le seul facteur qui a changé au cours des dernières semaines est, bien sûr, la guerre illégale de la Russie contre l’Ukraine, qui a entraîné l’isolement et l’expulsion de la Russie de nombreux systèmes internationaux.

Ceci est important car bien que les opérateurs de ransomware aient toujours été des criminels motivés par des raisons financières, plutôt que des groupes de menaces persistantes avancées soutenus par l’État, beaucoup sinon la plupart des gangs de ransomware opèrent à partir de la Russie, et on soupçonne depuis longtemps qu’ils le font avec l’approbation du gouvernement russe, ou du moins un œil aveugle de celui-ci.

Bien qu’il y ait peu de preuves que la Russie orchestre une cyberguerre majeure contre l’Occident – le NCSC continue de conseiller aux organisations de prendre des précautions raisonnables – il est certainement possible que la Russie fasse pression sur davantage d’opérateurs de ransomware en service en tant qu’élément de cyberguerre, ou que les opérateurs de ransomware prennent des mesures pour soutenir Moscou de leur propre chef.

En termes de réponse immédiate des organisations, il n’y a pas grand-chose à faire d’autre que de renforcer les défenses existantes contre les attaques de ransomware ou de les mettre en œuvre si vous ne l’avez pas encore fait.

De plus amples informations sur les mesures à prendre pour se défendre contre les attaques de ransomware sont disponibles auprès du National Cyber Security Centre du Royaume-Uni et, comme toujours, le conseil le plus important est de se concentrer d’abord sur les sauvegardes correctement protégées des données importantes et de ne jamais payer de rançon, car il n’est pas garanti que vos données concernées seront restaurées.