Le groupe ransomware Conti, actif depuis plus d’un an, exploite un Ransomware-as-a-Service (RaaS) qui a été lié à de multiples attaques, dont une récente attaque très médiatisée contre le service de santé irlandais qui a entraîné une perturbation massive des services. Lors de cette attaque, non seulement les services ont été interrompus et arrêtés, mais des serveurs de base de données (SQL) et plus de 700 Go de données personnelles ont été téléchargés et exfiltrés par les auteurs de la menace. Leur modus operandi n’est donc pas seulement la rançon, mais l’extorsion en fournissant la preuve que des données précieuses ont été exfiltrées.

Apparemment, un pentester autoproclamé mécontent du groupe Conti a divulgué au public les manuels et les guides techniques utilisés par le gang Conti pour former ses membres affiliés. Cette fuite contient des fichiers zippés protégés par mot de passe, des documents opérationnels "comment faire" et d’autres informations créées par le groupe pour ses affiliés. FortiGuard Labs a jeté un coup d’œil au manuel d’assistance de Conti, intitulé "CobaltStrike Manuals_V2 Active Directory" pour voir quelles observations intéressantes ils pouvaient tirer de ce manuel qui offre un rare aperçu du monde du RaaS.