[ad_1]

La première partie de cette série a examiné les discussions internes récemment divulguées du Conti groupe de rançongiciels et comment le gang criminel a traité ses propres brèches internes. La partie II a exploré ce que c’est que d’être un employé de l’organisation tentaculaire de Conti. La troisième partie d’aujourd’hui examine comment Conti a abusé d’une panoplie de services de sécurité commerciaux populaires pour saper la sécurité de leurs cibles, ainsi que la façon dont les dirigeants de l’équipe ont élaboré une stratégie pour avoir le dessus dans les négociations de rançon avec les victimes.

Conti est de loin le groupe de rançongiciels le plus agressif et le plus rentable en activité aujourd’hui. Image : analyse en chaîne

Conti est de loin le groupe de rançongiciels le plus performant en activité aujourd’hui, tirant régulièrement des paiements de plusieurs millions de dollars d’organisations de victimes. En effet, plus que peut-être tout autre équipement de ransomware, Conti a choisi de concentrer son personnel et ses talents considérables sur le ciblage des entreprises avec plus de 100 millions de dollars de revenus annuels.

Il se trouve que Conti lui-même a récemment rejoint le club des 100 millions de dollars. Selon le dernier Rapport sur la criminalité cryptographique (PDF) publié par la société de suivi des devises virtuelles Analyse en chaîneConti a généré au moins 180 millions de dollars de revenus l’année dernière.

Le 27 février, un chercheur ukrainien en cybersécurité qui se trouve actuellement en Ukraine a divulgué près de deux ans d’enregistrements de chat internes de Conti, qui venait de publier un communiqué de presse sur son blog de honte aux victimes disant qu’il soutenait pleinement l’invasion de son pays par la Russie. Conti a averti qu’il utiliserait ses prouesses informatiques pour riposter à quiconque s’immiscerait dans le conflit.

Les discussions divulguées montrent que le groupe Conti – dont la taille a fluctué de 65 à plus de 100 employés – a budgétisé plusieurs milliers de dollars chaque mois pour payer une multitude d’outils de sécurité et d’antivirus. Conti a recherché ces outils à la fois pour des tests continus (pour voir combien de produits ont détecté leur malware comme mauvais), mais aussi pour leur propre sécurité interne.

Une conversation entre le supérieur hiérarchique de Conti « Reshaev« et subalterne »Épingler” le 8 août 2021 montre Reshaev ordonnant à Pin de vérifier discrètement l’activité des administrateurs du réseau Conti une fois par semaine – pour s’assurer qu’ils ne font rien pour porter atteinte à l’intégrité ou à la sécurité des opérations du groupe. Reshaev demande à Pin d’installer des outils de détection et de réponse aux terminaux (EDR) sur l’ordinateur de chaque administrateur.

« Vérifiez l’activité des administrateurs sur les serveurs chaque semaine », a déclaré Reshaev. « Installez EDR sur chaque ordinateur (par exemple, Sentinel, Cylance, CrowdStrike) ; mettre en place un système de stockage plus complexe ; protéger le vidage LSAS sur tous les ordinateurs ; n’avoir qu’un compte actif ; installer les dernières mises à jour de sécurité ; installez un pare-feu sur tout le réseau.

Les managers de Conti étaient hyper conscients que leurs employés traitaient des données incroyablement sensibles et précieuses volées aux entreprises, des informations qui se vendraient comme des petits pains sur les forums clandestins de cybercriminalité. Mais dans une entreprise dirigée par des escrocs, la confiance ne vient pas facilement.

« Tu me surveilles tout le temps, tu ne me fais pas confiance? », A demandé un membre de Conti de niveau intermédiaire « Bio » de « Clochard » (alias « Atout“), un suzerain de haut Conti. Bio gérait un important transfert de bitcoins à partir d’un paiement de rançon de victime, et Bio a détecté que Trump le surveillait.

« Quand ce genre d’argent et des gens de la rue qui n’ont jamais vu ce genre d’argent arrivent, comment pouvez-vous leur faire confiance à 1 000%? » Trump a répondu. « Je travaille ici depuis plus de 15 ans et je n’ai rien vu d’autre. »

OSINT

Conti a également budgétisé lourdement pour ce qu’il a appelé « OSINT », ou des outils de renseignement open source. Par exemple, il s’est abonné à de nombreux services qui peuvent aider à déterminer qui ou quoi se cache derrière une adresse IP (Internet Protocol) spécifique, ou si une adresse IP donnée est liée à un service de réseau privé virtuel (VPN) connu. Au cours d’une journée moyenne, Conti avait accès à des dizaines de milliers de PC piratés, et ces services ont aidé le gang à se concentrer uniquement sur les systèmes infectés supposés être situés dans les grands réseaux d’entreprise.

Les activités OSINT de Conti impliquaient également d’abuser de services commerciaux qui pourraient aider le groupe à prendre le dessus dans les négociations de rançon avec les victimes. Conti fixait souvent ses demandes de rançon en pourcentage des revenus annuels d’une victime, et le gang était connu pour harceler les membres du conseil d’administration et les investisseurs d’entreprises qui refusaient de s’engager ou de négocier.

En octobre 2021, Conti sous-fifre «Coup de sang » a déclaré à son manager « Bentley» dont le groupe avait un besoin urgent pour acheter des abonnements à Crunchbase Pro et Zoominfo, notant que les services fournissent des informations détaillées sur des millions d’entreprises, telles que le montant d’assurance qu’une entreprise maintient ; leurs dernières estimations de revenus ; et les coordonnées des dirigeants et des membres du conseil d’administration.

Dans un projet de plusieurs mois l’année dernière, Conti a investi 60 000 $ dans l’acquisition d’une licence valide pour Frappe de cobalt, un outil commercial de test d’intrusion et de reconnaissance du réseau vendu uniquement à des partenaires agréés. Mais les licences « Coba » volées ou mal acquises sont fréquemment utilisées abusivement par les gangs de cybercriminels pour aider à jeter les bases de l’installation de rançongiciels sur un réseau victime. Il semble que 30 000 $ de cet investissement aient servi à couvrir le coût réel d’une licence Cobalt Strike, tandis que l’autre moitié a été versée à une entreprise légitime qui a secrètement acheté la licence au nom de Conti.

De même, le département des ressources humaines de Conti a budgétisé des milliers de dollars chaque mois pour les abonnements des employeurs à de nombreux sites Web de recherche d’emploi, où les employés des RH de Conti passeraient au crible les CV des embauches potentielles. Dans une note à Conti taskmaster « Arrière» expliquant l’accès payant du groupe sur une plateforme d’emploi, Conti HR salarié «Salamandre” déclarent que leurs employés ont déjà consulté 25 à 30 % de tous les CV pertinents disponibles sur la plateforme.

« Environ 25% des CV seront gratuits pour vous, car ils sont déjà ouverts par d’autres responsables de notre entreprise, certains CV sont déjà ouverts pour vous, avec le temps, leur nombre sera de 30 à 35% », a écrit Salamandra. « Sur 10 CV, environ 3 seront déjà disponibles. »

Une autre unité organisationnelle au sein de Conti avec ses propres allocations budgétaires – appelée le « Inverseurs” – était responsable de la recherche et de l’exploitation de nouvelles vulnérabilités de sécurité dans le matériel, les logiciels et les services basés sur le cloud largement utilisés. Le 7 juillet 2021, Stern a commandé l’inverseur « Kaktus” pour commencer à concentrer l’attention du département sur Windows 11le dernier système d’exploitation de Microsoft.

« Win11 sort bientôt, nous devrions être prêts pour cela et commencer à l’étudier », a déclaré Stern. « La bêta est déjà en ligne, vous pouvez officiellement télécharger et travailler. »

COÛTE QUE COÛTE

Les discussions de l’organisation Conti incluent de nombreuses délibérations internes sur le montant que les différentes victimes de ransomwares devraient payer. Et sur ce front, Conti semble avoir demandé l’aide de plusieurs tiers.

Entreprise de cyber-intelligence basée à Milwaukee Garder la sécurité cette semaine a posté une capture d’écran sur Twitter d’une conversation dans laquelle un membre de Conti prétend avoir un journaliste sur sa liste de paie qui peut être embauché pour écrire des articles qui font pression sur les entreprises victimes pour qu’elles paient une demande de rançon.

« Il y a un journaliste qui aidera à les intimider pour 5% du paiement », a écrit un membre de Conti « Alarme», le 30 mars 2021.

L’équipe Conti avait également des relations de travail décentes avec plusieurs personnes qui travaillaient dans des entreprises qui aidaient les victimes de ransomwares à naviguer en payant une demande d’extorsion en monnaie virtuelle. Un négociateur amical avait même son propre surnom au sein du groupe — « L’Espagnol” — qui, selon le manager de niveau intermédiaire de Conti Mangue est un homme roumain qui travaille pour une grande entreprise de récupération de ransomware au Canada.

«Nous avons un partenaire ici dans le même panel qui travaille avec ce négociateur depuis longtemps, comme vous pouvez négocier rapidement», déclare Trump à Bio le 12 décembre 2021, en ce qui concerne leur négociations sur les rançongiciels avec LeMans Corp., un grand distributeur d’équipements de sports motorisés basé au Wisconsin [LeMans declined to comment for this story].

Peu de temps après, Trump publie une réponse de son ami négociateur :

« Ils sont prêts à payer 1 000 $ [$1 million] rapidement. Besoin de décrypteurs. Le conseil d’administration est prêt à aller jusqu’à un maximum de 1 KK $, ce que je vous ai fourni. Espérons qu’ils comprendront. Le chiffre d’affaires de l’entreprise est inférieur à 100 000 $ [$100 million]. Ce n’est pas une grande organisation. Faites-moi savoir ce que vous pouvez faire. Mais si vous avez des informations sur leur cyber-assurance et peut-être qu’ils ont beaucoup d’argent sur leur compte, j’ai besoin d’un paiement bancaire, alors je peux négocier. Je serai en ligne à 21h00, heure de Moscou. Pour l’instant, jetez un œil aux documents et voyez s’il y a une assurance et des relevés bancaires.

Dans une autre discussion sur la rançon, le négociateur exhorte Conti à reconsidérer une demande aussi lourde.

« Mon client n’a qu’un maximum de 200 000 $ à payer et ne veut que les données », a écrit le négociateur le 7 octobre 2021. « Voyez ce que vous pouvez faire ou cet accord ne se produira pas. »

De nombreuses organisations détiennent désormais une cyber-assurance pour couvrir les pertes associées à une attaque de ransomware. Les journaux indiquent que Conti était ambivalent quant à son travail avec ces victimes. D’une part, les assureurs semblaient limiter leur capacité à exiger des montants de rançon astronomiques. D’un autre côté, les victimes assurées ont généralement payé, avec un minimum de tracas ou de longues négociations de va-et-vient.

« Ils sont assurés contre les risques cyber, alors qu’attendons-nous ? » demande le supérieur hiérarchique de Conti « Revers», dans une conversation du 14 septembre 2021.

« Il y aura des échanges avec la compagnie d’assurance ? » demande l’employé de Conti « Accorder.”

« Ce n’est pas comme ça que ça marche », a répondu Revers. «Ils ont un budget de couverture. Nous le prenons et c’est tout.

Conti a été l’un des premiers à adopter la pratique exemplaire du rançongiciel de « double extorsion », qui consiste à facturer à la victime deux demandes de rançon distinctes : une en échange d’une clé numérique nécessaire pour déverrouiller les systèmes infectés, et une autre pour obtenir la promesse que toute donnée volée sera ne seront ni publiés ni vendus et seront détruits. En effet, une certaine variation du message « besoin de décrypteurs, journaux de suppression » peut être vue tout au long des chats après la réception par le gang du paiement d’une victime.

Les victimes de Conti ont été dirigées vers une page sur le dark web qui comprenait un compte à rebours. Les victimes qui n’ont pas réussi à négocier un paiement avant l’expiration du délai pouvaient s’attendre à voir leurs données internes automatiquement publiées sur le blog de honte aux victimes de Conti.

La beauté de l’approche de la double extorsion est que même lorsque les victimes refusent de payer pour une clé de déchiffrement – peut-être parce qu’elles sont convaincues qu’elles peuvent restaurer les systèmes à partir de sauvegardes – elles peuvent toujours payer pour que la violation reste silencieuse.

« Bonjour [victim company redacted]», a écrit le gang en janvier 2022. « Nous sommes le groupe Conti. Nous souhaitons vous informer que le réseau local de votre entreprise a été piraté et crypté. Nous avons téléchargé depuis votre réseau plus de 180 Go de données sensibles. – RH partagées – Comptabilité_partagée – Dette d’entreprise – Départements. Vous pouvez voir votre page dans notre blog ici [dark web link]. Votre page est masquée. Mais il sera publié si vous n’allez pas aux négociations.

« Nous sommes parvenus à un accord avant le Nouvel An », membre de Conti « Skippy» a écrit plus tard dans un message à l’entreprise victime. « Vous avez beaucoup de temps, plus qu’assez pour trouver n’importe quelle somme et remplir votre part de cet accord. Cependant, vous demandez maintenant un délai supplémentaire, des preuves supplémentaires, etc. On dirait que vous vous préparez à rompre l’accord et à fuir, ou simplement à diminuer la somme. De plus, c’est une demande et une explication très étranges. Beaucoup d’entreprises paient ces montants sans aucun problème. Donc, notre réponse : Nous attendons la somme mentionnée ci-dessus jusqu’au 5 février. Nous tenons nos propos. Si nous ne voyons aucun paiement et que vous continuez à ajouter des conditions, nous commençons à télécharger des données. C’est tout. »

Et la réputation de tenir parole est ce qui fait tant craindre des groupes comme Conti. Mais certains peuvent en venir à remettre en question la compétence du groupe et s’il est désormais trop risqué de travailler avec eux.

Le 3 mars, un nouveau compte Twitter appelé « Trickbotleaks » a commencé à publier les noms, photos et informations personnelles de ce que le compte prétendait être les meilleurs administrateurs de Trickbot, y compris des informations sur de nombreux surnoms Conti mentionnés tout au long de cette histoire. Le compte Twitter Trickbotleaks a été suspendu moins de 24 heures plus tard.

Le 2 mars, le compte Twitter qui a initialement divulgué les enregistrements de chat Conti (alias « jabber ») a publié de nouveaux journaux de la salle de chat Conti, prouvant que l’infiltré avait toujours accès et que Conti n’avait pas compris comment ils avaient été. .

« L’Ukraine va s’élever! », le compte tweeté. « Des journaux de jabber frais. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *