Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conti Ransomware Group - analyse du FortiGuard Labs

août 2021 par FortiGuard Labs

Les ransomwares ont fait la une des médias au cours du premier semestre 2021. L’attaque contre Colonial Pipeline (DarkSide) a provoqué une perturbation de la distribution de pétrole et d’essence sur toute la côte Est des États-Unis (ironiquement, c’est le système de facturation qui a été mis hors ligne et non les appareils d’OT contrôlant l’approvisionnement). Celle qui a visé JBS Foods au Brésil (REvil) a suscité des inquiétudes quant à une éventuelle pénurie mondiale de viande. Quant à celle qui visait le fournisseur de services gérés Kaseya VSA (REvil), il s’agissait d’une attaque de la chaîne d’approvisionnement qui a eu pour conséquence que les clients en aval ont été touchés par des attaques de ransomware.

Le groupe ransomware Conti, actif depuis plus d’un an, exploite un Ransomware-as-a-Service (RaaS) qui a été lié à de multiples attaques, dont une récente attaque très médiatisée contre le service de santé irlandais qui a entraîné une perturbation massive des services. Lors de cette attaque, non seulement les services ont été interrompus et arrêtés, mais des serveurs de base de données (SQL) et plus de 700 Go de données personnelles ont été téléchargés et exfiltrés par les auteurs de la menace. Leur modus operandi n’est donc pas seulement la rançon, mais l’extorsion en fournissant la preuve que des données précieuses ont été exfiltrées.

Apparemment, un pentester autoproclamé mécontent du groupe Conti a divulgué au public les manuels et les guides techniques utilisés par le gang Conti pour former ses membres affiliés. Cette fuite contient des fichiers zippés protégés par mot de passe, des documents opérationnels "comment faire" et d’autres informations créées par le groupe pour ses affiliés. FortiGuard Labs a jeté un coup d’œil au manuel d’assistance de Conti, intitulé "CobaltStrike Manuals_V2 Active Directory" pour voir quelles observations intéressantes ils pouvaient tirer de ce manuel qui offre un rare aperçu du monde du RaaS.




Voir les articles précédents

    

Voir les articles suivants