Plus tôt cette semaine, un chercheur ukrainien en sécurité a divulgué près de deux ans de journaux de discussion internes de Conti, l’un des gangs de rançongiciels les plus rapaces et les plus impitoyables en activité aujourd’hui. L’histoire de mardi a examiné comment Conti a géré ses propres violations internes et les attaques des entreprises de sécurité privées et des gouvernements. Dans la partie II de cette série, nous explorerons ce que c’est que de travailler pour Conti, tel que décrit par les employés de Conti eux-mêmes.
Les discussions du groupe Conti en disent long sur sa structure interne et sa hiérarchie. Conti maintient bon nombre des mêmes unités commerciales qu’une petite ou moyenne entreprise légitime, y compris un service des ressources humaines qui est chargé d’interroger en permanence les nouvelles recrues potentielles.
Les autres départements de Conti avec leurs propres budgets distincts, les horaires du personnel et la haute direction comprennent :
–Codeurs : Programmeurs embauchés pour écrire du code malveillant, intégrer des technologies disparates
–Testeurs : Travailleurs chargés de tester les logiciels malveillants Conti par rapport aux outils de sécurité et de les obscurcir
–Administrateurs : Travailleurs chargés de configurer, de démonter des serveurs et d’autres infrastructures d’attaque
–Ingénierie inverse : Ceux qui peuvent désassembler le code informatique, l’étudier, trouver des vulnérabilités ou des faiblesses
–Testeurs d’intrusion/Hackers : Ceux qui sont en première ligne se battent contre les équipes de sécurité des entreprises pour voler des données et planter des ransomwares.
Conti semble avoir sous-traité une grande partie de ses opérations de spam, ou du moins il n’y avait aucune mention de « spammeurs » en tant qu’employés directs. Les dirigeants de Conti semblent avoir établi des budgets stricts pour chacune de ses unités organisationnelles, bien qu’il ait parfois emprunté des fonds alloués à un département pour répondre aux besoins pressants de trésorerie d’un autre.
Un grand nombre des discussions les plus révélatrices concernant la structure de Conti sont entre « Mangue » – un responsable de niveau intermédiaire de Conti à qui de nombreux autres employés de Conti rendent compte chaque jour – et « Arrière», une sorte de bourreau acharné que l’on voit sans cesse aiguiller le personnel pour obtenir des rapports sur son travail.
En juillet 2021, Mango a déclaré à Stern que le groupe plaçait des annonces sur plusieurs forums de cybercriminalité en langue russe pour embaucher plus de travailleurs. « Le salaire est de 2 000 $ dans l’annonce, mais il y a beaucoup de commentaires selon lesquels nous recrutons des esclaves de galère », a écrit Mango. « Bien sûr, nous contestons cela et disons que ceux qui travaillent et apportent des résultats peuvent gagner plus, mais il existe des exemples de codeurs qui travaillent normalement et gagnent un salaire de 5 000 $ à 10 000 $. »
Les chats Conti montrent que le gang a principalement gardé un œil sur les robots victimes infectés par leurs logiciels malveillants via le Trickbot et émoticône plates-formes crimeware-as-a-service, et qu’il employait des dizaines de personnes pour tester, entretenir et développer en permanence cette infrastructure 24 heures sur 24, 7 jours sur 7.
Les membres de Conti ont qualifié Emotet de « Alcool » ou « Buza« , et il ressort clairement de la lecture de ces journaux de chat que Buza avait sa propre écurie de plus de 50 codeurs, et probablement une grande partie de la même structure organisationnelle que Conti.
Selon Mango, au 18 juillet 2021, le gang Conti employait 62 personnes, principalement des codeurs de logiciels malveillants de bas niveau et des testeurs de logiciels. Cependant, la liste des employés de Conti semble avoir énormément fluctué d’un mois à l’autre. Par exemple, à plusieurs reprises, l’organisation a été forcée de licencier de nombreux employés par mesure de sécurité à la suite de ses propres failles de sécurité internes.
En mai 2021, Stern a déclaré à Mango qu’il souhaitait que ses sous-fifres embauchent 100 « encodeurs » supplémentaires pour travailler avec les logiciels malveillants du groupe avant que la majeure partie du gang ne revienne de leurs vacances d’été en Crimée. La plupart de ces nouvelles recrues, dit Stern, rejoindront les équipes de test de pénétration/piratage dirigées par les dirigeants de Conti « Hof » et « Inverser.” Hof et Reverse semblent avoir un accès direct à la plate-forme de logiciels criminels Emotet.
Le 30 juillet 2021, Mango dit sévèrement que la masse salariale est passée à 87 salariés, avec d’autres embauches en cours. Mais essayer d’évaluer avec précision la taille de l’organisation Conti est problématique, en partie parce que les experts en cybersécurité soutiennent depuis longtemps que Conti n’est qu’une nouvelle image d’une autre souche de ransomware et d’un programme d’affiliation connu sous le nom de Ryûk.
Repéré pour la première fois en 2018, Ryuk était tout aussi impitoyable et mercenaire que Conti, et le FBI affirme qu’au cours de la première année de son fonctionnement, Ryuk a gagné plus de 61 millions de dollars en paiements de rançon.
« Conti est une version ciblée de Ryuk, qui vient de Trickbot et Emotet que nous surveillons depuis un certain temps », ont déclaré des chercheurs de Palo Alto Networks a écrit sur Ryuk l’année dernière. « Une grande attention a été accordée aux systèmes hospitaliers, probablement en raison de la nécessité d’une disponibilité, car ces systèmes étaient submergés par la gestion de la pandémie de COVID-19 en cours. Nous avons observé les premières demandes de rançon Ryuk allant de 600 000 à 10 millions de dollars dans plusieurs secteurs.
Le 14 mai 2021, l’Irlande Directeur des services de santé (HSE) a subi une attaque majeure de ransomware de la part de Conti. L’attaque perturberait les services de plusieurs hôpitaux irlandais et entraînerait l’arrêt presque complet des réseaux nationaux et locaux du HSE, forçant l’annulation de nombreuses cliniques externes et services de santé. Il a fallu au HSE jusqu’au 21 septembre 2021 pour restaurer complètement tous ses systèmes après l’attaque, pour un coût estimé à plus de 600 millions de dollars.
La lecture de ces conversations ne permet pas de savoir combien d’employés de Conti ont compris à quel point les opérations de l’organisation se chevauchaient avec celles de Ryuk. Laurent Abrams à Ordinateur qui bipe a souligné un chat Conti d’octobre 2020 dans lequel le représentant d’Emotet « Buza » publie un lien vers l’analyse d’une entreprise de sécurité du retour de Ryuk.
« Professeur», le surnom choisi par l’un des généraux les plus hauts placés de Conti, répond qu’en effet les outils, techniques et procédures de Ryuk sont presque identiques à ceux de Conti.
« adf.bat – c’est mon putain de fichier batch », écrit le professeur, manifestement surpris d’avoir lu l’analyse et de voir que son propre code est réutilisé dans des attaques de ransomware très médiatisées par Ryuk.
« On dirait [the] les mêmes managers dirigeaient à la fois Ryuk et Conti, avec une migration lente vers Conti en juin 2020 », Abrams écrit sur Twitter. « Cependant, sur la base des discussions, certains affiliés ne savaient pas que Ryuk et Conti étaient dirigés par les mêmes personnes. »
USURE
Chaque employé de Conti s’est vu attribuer une semaine de travail spécifique de 5 jours et les horaires des employés ont été échelonnés de manière à ce qu’un certain nombre d’employés soient toujours disponibles 24h/24 et 7j/7 pour résoudre les problèmes techniques liés au botnet ou pour répondre aux négociations de rançon initiées par une organisation victime.
Comme d’innombrables autres organisations, Conti effectuait sa paie le 1er et le 15 de chaque mois, bien que sous la forme de dépôts Bitcoin. La plupart des employés étaient payés de 1 000 $ à 2 000 $ par mois.
Cependant, de nombreux employés ont utilisé la salle de discussion Conti pour se défouler sur des journées de travail sans sommeil ni pause, tandis que les cadres supérieurs ont ignoré leurs demandes répétées de congé.
En effet, les journaux indiquent que Conti a eu du mal à maintenir un nombre constant de programmeurs, de testeurs et d’administrateurs face à un travail principalement exténuant et répétitif qui ne payait pas très bien (notamment par rapport aux revenus de la haute direction du groupe). De plus, certains des meilleurs membres du groupe ont été ouvertement approchés pour travailler pour des organisations de rançongiciels concurrentes, et le moral général du groupe semblait fluctuer entre les jours de paie.
Sans surprise, le taux de roulement, d’attrition et d’épuisement professionnel était assez élevé pour les employés de bas niveau de Conti, ce qui obligeait le groupe à recruter constamment de nouveaux talents.
« Notre travail n’est généralement pas difficile, mais monotone, faire la même chose tous les jours », a écrit « Bentley», le surnom choisi par l’employé clé de Conti apparemment chargé de « crypter » les logiciels malveillants du groupe — s’assurant qu’ils ne soient pas détectés par tous ou du moins la plupart des produits antivirus du marché.
Bentley s’adressait à une nouvelle recrue de Conti – « Idgo» – lui racontant ses tâches quotidiennes.
« En gros, cela implique de lancer des fichiers et de les vérifier selon l’algorithme », explique Bentley à Idgo. « Poll communication avec l’encodeur pour recevoir des fichiers et lui envoyer des rapports. Egalement communication avec le cryptor pour envoyer l’assembly testé vers la crypte. Puis tester la crypte. Si des jambages apparaissent à ce stade, envoyez des rapports au cryptoteur et travaillez avec lui. Et en conséquence – la délivrance de la crypte finie au partenaire.
Bentley a averti que ces tests de leurs logiciels malveillants devaient être répétés environ toutes les quatre heures pour s’assurer que toute nouvelle capacité de détection de logiciels malveillants ajoutée à Windows Defender – le service antivirus et de sécurité intégré à Windows – n’interférera pas avec leur code.
« Environ toutes les 4 heures, une nouvelle mise à jour des bases de données Defender est publiée », a déclaré Bentley à Idgo. « Vous devez travailler 8 heures avant 20-21 heure de Moscou. Et l’évolution de carrière est possible. Idgo est d’accord, notant qu’il avait commencé à travailler pour Conti un an plus tôt, en tant que testeur de code.
OBSERVATIONS
Les journaux montrent que le gang Conti est extrêmement doué pour trouver rapidement de nombreuses nouvelles victimes potentielles de ransomwares, et les enregistrements incluent de nombreux débats internes au sein de la direction de Conti sur le montant que certaines entreprises victimes devraient être obligées de payer. Ils montrent également avec une précision terrifiante à quel point un grand groupe de cybercriminalité organisé peut passer d’un seul PC compromis à la propriété complète d’une entreprise Fortune 500.
En tant que machine à tuer « big game » bien dotée en personnel, Conti est peut-être sans précédent parmi les groupes de rançongiciels. Mais les journaux de discussion internes montrent que ce groupe a sérieusement besoin d’outils de gestion et de suivi du flux de travail. En effet, à maintes reprises, le gang Conti a perdu le contrôle d’innombrables bots – toutes des sources potentielles de revenus de rançon qui aideront à payer les salaires des employés pendant des mois – à cause d’un simple oubli ou d’une erreur.
Partout dans les conversations Conti divulguées – environ plusieurs fois par semaine – se trouvent des plaidoiries de divers membres du personnel chargés de maintenir les actifs numériques tentaculaires et en constante évolution qui soutiennent l’opération de ransomware du groupe. Ces messages concernent invariablement des factures en souffrance pour plusieurs serveurs virtuels, des enregistrements de domaine et d’autres ressources basées sur le cloud.
Le 1er mars 2021, un employé de bas niveau de Conti nommé «Charretier » dit que le fonds bitcoin utilisé pour payer les abonnements VPN, les licences de produits antivirus, les nouveaux serveurs et les enregistrements de domaine est à court de 1 240 $ en Bitcoin.
« Bonjour, nous n’avons plus de bitcoins, quatre nouveaux serveurs, trois abonnements vpn et 22 renouvellements sont terminés », a écrit Carter le 24 novembre 2021. « Deux semaines avant les renouvellements pour 960 $ en bitcoin 0,017. Veuillez envoyer des bitcoins à ce portefeuille, merci.
« J’ai oublié de payer pour le domaine d’ancrage, et par conséquent, lors de la tentative de renouvellement, il a été abusé et nous avons / probablement / foutu les bots », a écrit Carter à Stern le 23 septembre 2020.
Dans le cadre de la recherche pour cette série, BreachTrace a passé de nombreuses heures à lire chaque jour les journaux de discussion de Conti remontant à septembre 2020. J’aimerais pouvoir récupérer beaucoup de ces heures : une grande partie des conversations sont des bavardages ennuyeux et ennuyeux. conversation de magasin. Mais dans l’ensemble, j’ai eu l’impression que Conti est une organisation cybercriminelle très efficace, bien que remarquablement inefficace.
Une partie de la nature désorganisée de Conti est probablement endémique dans l’industrie de la cybercriminalité, qui est bien sûr composée de criminels qui sont probablement habitués à un style de vie moins réglementé. Mais ne vous y trompez pas : à mesure que les collectifs de rançongiciels comme Conti continuent d’augmenter les paiements des organisations de victimes, la pression s’intensifiera sur ces groupes pour qu’ils resserrent leurs opérations et travaillent de manière plus efficace, professionnelle et rentable.
«Nous avons toutes les opportunités et conditions, nous avons juste besoin d’être plus professionnels», a écrit Mango Stern le 27 août 2021. «Et nous avons constamment l’un ou l’autre: soit nous écrivons des bêtises dans les chats, soit nous ne le faisons pas répondre aux patients [victims] pour une demi-journée. Naturellement, nos affiliés sont nerveux après cela.
Si vous avez aimé cette histoire, veuillez consulter la partie III de cette série, qui examine comment Conti a sécurisé l’accès aux cyber-armes nécessaires pour renverser la sécurité de leurs cibles, ainsi que la façon dont les chefs de l’équipe ont abordé les négociations de rançon avec leurs victimes.
Partie IV : Cryptocrime explore différents stratagèmes que Conti a poursuivis pour investir et voler des crypto-monnaies.