le Conti programme d’affiliation ransomware semble avoir récemment modifié son plan d’affaires. Les organisations infectées par le logiciel malveillant de Conti qui refusent de négocier le paiement d’une rançon sont ajoutées au blog d’humiliation des victimes de Conti, où les fichiers confidentiels volés aux victimes peuvent être publiés ou vendus. Mais au cours des dernières 48 heures, le syndicat cybercriminel a mis à jour son blog d’humiliation des victimes pour indiquer qu’il vend maintenant l’accès à de nombreuses organisations qu’il a piratées.
« Nous recherchons un acheteur pour accéder au réseau de cette organisation et vendre des données à partir de son réseau », lit-on dans le message au libellé confus inséré dans plusieurs listes de victimes récentes sur le blog honteux de Conti.
On ne sait pas ce qui a motivé les changements, ou ce que Conti espère gagner de ce déménagement. Il n’est pas non plus évident de savoir pourquoi ils annonceraient avoir piraté des entreprises s’ils prévoient de vendre cet accès pour extraire des données sensibles à l’avenir. Conti n’a pas répondu aux demandes de commentaires.
« Je me demande s’ils sont sur le point de fermer leurs opérations et veulent vendre des données ou accéder à une violation en cours avant qu’ils ne le fassent », a déclaré Fabien Wosardirecteur technique d’une société de sécurité informatique Emsisoft. « Mais c’est un peu stupide de le faire de cette façon car vous alerterez les entreprises qu’elles ont une brèche en cours. »
Ce changement inexpliqué survient alors que les décideurs politiques aux États-Unis et en Europe progressent dans leurs efforts pour perturber certains des principaux gangs de ransomwares. Reuter récemment signalé que le gouvernement américain était à l’origine d’une opération de piratage en cours qui a pénétré les systèmes informatiques de REvil, un groupe affilié de ransomware qui, selon les experts, est à peu près aussi agressif et impitoyable que Conti dans le traitement des victimes. De plus, REvil a été parmi les premiers groupes de rançongiciels à commencer à vendre les données de ses victimes.
Le site d’humiliation des victimes du darknet de REvil reste hors ligne. En réponse, un représentant du gang Conti a publié une longue chape le 22 octobre sur un forum de piratage en langue russe dénonçant l’attaque contre REvil comme le « comportement unilatéral, extraterritorial et d’agression de bandits des États-Unis dans les affaires mondiales ».
« Existe-t-il une loi, même américaine, même locale dans n’importe quel comté de l’un des 50 États, qui légitime une telle action offensive aveugle? » lit la diatribe de Conti. « Le piratage de serveurs est-il soudainement légal aux États-Unis ou dans l’une des juridictions américaines ? Supposons qu’il existe une loi aussi scandaleuse qui vous permette de pirater des serveurs dans un pays étranger. Dans quelle mesure est-ce légal du point de vue du pays dont les serveurs ont été attaqués ? L’infrastructure ne vole pas dans l’espace ou ne flotte pas dans des eaux neutres. Cela fait partie de la souveraineté de quelqu’un.
La nouvelle orientation apparente de Conti n’est peut-être rien de plus qu’un autre stratagème pour amener les entreprises victimes à la table des négociations, comme dans « payez ou quelqu’un paiera pour vos données ou la misère à long terme si vous ne le faites pas ».
Ou peut-être que quelque chose s’est simplement perdu dans la traduction du russe (le blog de Conti est publié en anglais). Mais en passant du déploiement de rançongiciels malveillants à la vente de données volées et d’accès au réseau, Conti pourrait aligner ses opérations sur de nombreux programmes d’affiliation de rançongiciels concurrents qui se sont récemment concentrés sur l’extorsion de sociétés en échange d’une promesse de ne pas publier ou vendre des données volées. .
Cependant, comme Ombres numériques fait remarquer dans un récent tour d’horizon des rançongicielsde nombreux groupes de rançongiciels ont du mal à gérer les sites de fuite de données ou à héberger des données volées sur le dark web pour les télécharger.
Après tout, lorsqu’il faut des semaines pour télécharger les données d’une victime via Tor – si en effet le téléchargement réussit du tout – la menace de fuite de données sensibles en tant que tactique de négociation perd une partie de sa menace. C’est aussi une expérience utilisateur merdique. Cela a conduit certains groupes de rançongiciels à exposer des données à l’aide de sites Web publics de partage de fichiers, qui sont plus rapides et plus fiables, mais peuvent être supprimés assez rapidement par des moyens légaux.
Les sites de fuite de données peuvent également offrir aux enquêteurs un moyen potentiel d’infiltrer les gangs de rançongiciels, comme en témoigne la récente compromission signalée du gang REvil par les autorités américaines.
« Le 17 octobre 2021, un représentant du gang de rançongiciels REvil s’est rendu sur un forum criminel russophone pour révéler que leurs sites de fuite de données avaient été » piratés « », Digital Shadows » Ivan Righi a écrit. « Le membre de REvil a expliqué qu’un individu inconnu avait accédé aux services cachés de la page d’accueil et du blog du site Web de REvil en utilisant la même clé détenue par les développeurs. L’utilisateur pensait que les serveurs du gang de rançongiciels avaient été compromis et que la personne responsable de la compromission le « recherchait ».
Un rapport récent de Mandiant a révélé que FIN12 — le groupe soupçonné d’être responsable à la fois de Conti et du Fonctionnement du rançongiciel Ryuk — a réussi à mener des attaques de ransomware en moins de 3 jours, contre plus de 12 jours pour les attaques impliquant l’exfiltration de données.
Vu à travers ces chiffres, Conti cherche peut-être simplement à externaliser davantage le côté exfiltration de données de l’entreprise (moyennant des frais, bien sûr) afin qu’il puisse se concentrer sur le racket moins chronophage mais tout aussi rentable du déploiement de ransomwares.
« À l’approche du quatrième trimestre, il sera intéressant de voir si les problèmes liés à la gestion des sites de fuite de données décourageront les nouveaux groupes de rançongiciels. [from pursuing] le chemin des sites de fuite de données, ou quelles solutions créatives ils créeront pour contourner ces problèmes », a conclu Righi. « Le groupe Ryuk ransomware a prouvé qu’il restait efficace et un acteur de premier plan dans le paysage des menaces de ransomware sans avoir besoin d’un site de fuite de données. En fait, Ryuk a prospéré en n’ayant pas besoin d’un site de fuite de données et d’exfiltration de données.