Vous avez presque certainement vu et entendu le mot Conti dans le cadre de la cybercriminalité.
Conti est le nom d'un gang de rançongiciels bien connu - plus précisément, ce qu'on appelle un rançongiciel en tant que service (RaaS), où le code du rançongiciel, les demandes de chantage et la réception des paiements d'extorsion de victimes désespérées sont gérés par un groupe central…
…tandis que le s'attaque eux-mêmes sont orchestrés par une « équipe » peu structurée d'affiliés qui sont généralement recrutés non pas pour leurs capacités de codage de logiciels malveillants, mais pour leurs compétences en matière d'hameçonnage, d'ingénierie sociale et d'intrusion sur le réseau.
En effet, nous connaissons exactement le type de «compétences», si c'est un mot acceptable à utiliser ici, que les opérateurs RaaS recherchent chez leurs affiliés.
Il y a environ deux ans, le gang de rançongiciels REvil a mis en place un cool 1,000,000 XNUMX $ comme argent de façade dans un forum clandestin de recrutement de hackers, essayant d'inciter de nouveaux affiliés à rejoindre leurs câpres cybercriminelles.
Les affiliés semblent généralement gagner environ 70 % de l'argent du chantage qui est finalement extorqué par le gang à toutes les victimes qu'ils attaquent, ce qui est une incitation importante non seulement à aller durement, mais aussi à aller en profondeur, en attaquant et en infectant tout le monde. réseaux en une seule fois.
Les attaquants choisissent aussi souvent un moment délibérément difficile pour l'entreprise qu'ils attaquent, comme aux premières heures d'un week-end.
Plus le réseau d'une victime est complètement déraillé et perturbé, plus il est probable qu'elle se retrouve coincée à payer pour déverrouiller ses précieuses données et faire fonctionner à nouveau l'entreprise.
Comme REvil l'a clairement indiqué lorsqu'ils ont dépensé ce "budget marketing" d'un million de dollars en ligne, l'équipe principale de RaaS recherchait :
Des équipes qui ont déjà de l'expérience et des compétences dans les tests d'intrusion, travaillant avec msf / cs / koadic, nas / tape, hyper-v et analogues des logiciels et appareils répertoriés.
Comme vous pouvez l'imaginer, le gang REvil avait un intérêt particulier pour les technologies telles que NAS (stockage attaché en réseau), bande de sauvegarde et Hyper-V (la plate-forme de virtualisation de Microsoft), car perturber les sauvegardes existantes lors d'une attaque et « déverrouiller » les serveurs virtuels afin qu'ils puissent être chiffrés avec tout le reste, rend plus difficile que jamais la récupération par les victimes par elles-mêmes.
Si vous subissez une attaque de brouillage de fichiers pour découvrir que les criminels ont d'abord détruit ou crypté toutes vos sauvegardes, votre principal chemin vers l'auto-récupération pourrait bien être déjà détruit.
Des affiliations tendues
Bien sûr, les relations symbiotiques entre les membres principaux d'un gang RaaS et les affiliés sur lesquels ils comptent peuvent facilement devenir tendues.
L'équipage Conti, notamment, subi des ructions dans les rangs il y a un peu plus d'un an, avec une sorte de mutinerie parmi les affiliés :
Oui, bien sûr, ils recrutent des pigeons et se partagent l'argent, et les garçons sont nourris avec ce qu'ils leur feront savoir quand la victime paiera.
Comme nous l'avons souligné à l'époque, l'implication était qu'au moins certains affiliés de la scène des rançongiciels Conti ne recevaient pas 70 % du montant réel de la rançon collectée, mais 70 % d'un nombre imaginaire mais inférieur qui leur avait été signalé par le noyau Conti. membres d'un gang.
L'un des affiliés mécontents a divulgué un important fichier d'archives lié à Conti-crew intitulé Мануали для работяг и софт.rar (Manuels d'utilisation et logiciels).
Allumez vos copains
Eh bien, les États-Unis viennent de monter la barre encore une fois, officiellement et publiquement offrant une récompense de "jusqu'à 10 millions de dollars" sous le titre en un seul mot Conti:
Détecté pour la première fois en 2019, le ransomware Conti a été utilisé pour mener plus de 1,000 9 opérations de ransomware ciblant les infrastructures critiques américaines et internationales, telles que les forces de l'ordre, les services médicaux d'urgence, les centres de répartition 1-1-400 et les municipalités. Ces réseaux de soins de santé et de premiers intervenants font partie des plus de 290 organisations dans le monde victimes de Conti, dont plus de XNUMX sont situées aux États-Unis.
Les opérateurs de Conti volent généralement les fichiers des victimes et cryptent les serveurs et les postes de travail dans le but d'imposer le paiement d'une rançon à la victime. La lettre de rançon demande aux victimes de contacter les acteurs via un portail en ligne pour finaliser la transaction. Si la rançon n'est pas payée, les données volées sont vendues ou publiées sur un site public contrôlé par les acteurs de Conti. Les montants des rançons varient considérablement, certaines demandes de rançon pouvant atteindre 25 millions de dollars.
Le paiement est disponible dans le cadre d'une initiative américaine mondiale de lutte contre la criminalité et le terrorisme connue sous le nom de Récompenses pour la justice (RfJ), administré par le Service diplomatique américain au nom du Département d'État américain (l'organisme gouvernemental que de nombreux pays anglophones appellent « Affaires étrangères » ou « Ministère des Affaires étrangères »).
Le programme RfJ remonte à près de 40 ans, au cours desquels il prétend avoir versé environ 250 millions de dollars à plus de 125 personnes différentes dans le monde, ce qui reflète des paiements moyens moyens d'environ 2,000,000 XNUMX XNUMX $ environ trois fois par an.
Bien que cela suggère qu'il est peu probable qu'un lanceur d'alerte individuel dans la saga Conti gagne la totalité des 10 millions de dollars, il y a encore beaucoup d'argent de récompense à prendre.
En effet, RfJ a promu son Récompense anti-cybercriminalité de 10 millions de dollars avant, sous une description générale :
[Le programme RfJ] offre une récompense allant jusqu'à 10 millions de dollars pour les informations permettant d'identifier ou de localiser toute personne qui, tout en agissant sous la direction ou sous le contrôle d'un gouvernement étranger, participe à des cyberactivités malveillantes contre des infrastructures critiques américaines. en violation de la loi sur la fraude et les abus informatiques (CFAA).
Cette fois, cependant, le Département d'État américain a exprimé un intérêt explicite pour cinq personnes, bien qu'elles ne soient connues que par leurs noms clandestins pour le moment : Dandys, Professeur, Rechaev, Targetet Clochard.
Leurs photos sont également incertaines, avec le Page RfJ montrant l'image suivante :
Seulement un instantané montre un auteur présumé, bien qu'il ne soit pas clair si l'allégation est qu'il pourrait être l'un des cinq acteurs de la menace énumérés ci-dessus, ou simplement un joueur dans le gang plus large avec un surnom et un rôle inconnus :
Il y a un chapeau curieux (une pièce de fête, peut-être ?) avec une étoile rouge ; une chemise avec un logo largement masqué (pouvez-vous extrapoler le mot ? ); une chope de bière en arrière-plan ; une boisson d'apparence vide dans une bouteille en verre transparent (la bière, par sa taille et sa forme ?) ; un instrumentiste invisible (jouant une balalaïka, par ses chevilles d'accord ?) au premier plan ; et un rideau à motifs attaché devant un store de style vénitien à l'arrière.
Des commentateurs veulent-ils deviner ce qui se passe dans cette image ?
EN SAVOIR PLUS SUR LES RANSOMWARE EN 2022
