Un outil de décryptage pour une version modifiée du rançongiciel Conti pourrait aider des centaines de victimes à récupérer leurs fichiers gratuitement.
L’utilitaire fonctionne avec des données cryptées avec une souche du ransomware qui a émergé après la fuite du code source de Conti l’année dernière en mars [1, 2].
Des centaines de victimes cryptées
Des chercheurs de la société de cybersécurité Kaspersky ont découvert la fuite sur un forum où les acteurs de la menace ont publié un cache de 258 clés privées à partir d’une version modifiée du rançongiciel Conti.
La variante a été utilisée dans des attaques contre diverses organisations privées et publiques au cours de l’année écoulée par un groupe de rançongiciels que certains chercheurs suivent sous le nom de MeowCorp.
Amigo-A, chercheur en ransomware, a déclaré à Breachtrace que les acteurs de la menace avaient publié les données sur un forum russophone en février 2022, qui contenaient un lien vers une archive contenant des clés de déchiffrement, des exécutables de décryptage et le code source du décrypteur.
Kaspersky a analysé les clés et les a trouvées associées à une variante Conti qu’ils ont découverte en décembre 2022. Cependant, la souche circulait depuis au moins août.
« Les clés privées divulguées se trouvent dans 257 dossiers (un seul de ces dossiers contient deux clés) », a déclaré Kaspersky dans un communiqué de presse aujourd’hui.
Breachtrace a appris que les attaques utilisant le chiffreur basé sur Conti visaient principalement des organisations russes.
Les chercheurs ajoutent que certains des dossiers comprenaient des décrypteurs générés précédemment ainsi que d’autres fichiers, c’est-à-dire des photos et des documents, qui ont probablement été utilisés pour montrer aux victimes que le décryptage fonctionne.
34 des dossiers contenaient des noms explicites d’organisations de victimes dans le secteur gouvernemental de pays d’Europe et d’Asie.
Fedor Sinitsyn, analyste principal des logiciels malveillants chez Kaspersky, a déclaré à Breachtrace que les noms dans le reste des dossiers étaient hachés ou encodés.
Sur la base de cela et du nombre de décrypteurs disponibles dans la fuite, Kaspersky dit que l’on peut supposer que la souche Conti modifiée a été utilisée pour chiffrer 257 victimes et que 14 d’entre elles ont payé les attaquants pour récupérer les données verrouillées.
Les clés privées ont été créées entre le 13 novembre 2022 et le 5 février 2023, ce qui est une bonne indication sur la chronologie des attaques. Sinitsyn nous a dit que les dates d’infection des victimes qui ont contacté Kaspersky pour le décryptage se situaient dans cette plage horaire.
Kaspersky a ajouté le code de déchiffrement et les 258 clés privées à son RakhniDecryptor, un outil capable de récupérer des fichiers chiffrés par plus de deux douzaines de souches de rançongiciels.
Selon Kaspersky, le décrypteur peut récupérer des fichiers chiffrés par la variante Conti modifiée qui utilisait le modèle de nom et les extensions suivants :
- .KREMLIN
- .RUSSIE
- .PUTIN
La disparition du rançongiciel Conti
Pendant environ trois ans, le gang Conti a dirigé l’une des opérations de ransomware en tant que service les plus actives et les plus lucratives, ciblant les grandes organisations et exigeant d’importantes rançons pour déchiffrer les données qu’ils ont verrouillées.
Considérée comme le successeur du rançongiciel Ryuk, l’opération Conti a débuté en décembre 2019 et, avec l’aide des opérateurs TrickBot, elle est devenue une menace dominante en juillet 2020.
Le gang a fait des ravages sans relâche pendant un an et a adopté de nouvelles tactiques (par exemple, vol de données, site de fuite) pour forcer les victimes à payer la rançon.
En août 2021, un affilié mécontent de Conti a divulgué des informations sur certains des membres du groupe ainsi que sur la méthode d’attaque et les manuels de formation du gang.
L’invasion russe de l’Ukraine en février de l’année dernière a créé davantage de frictions internes alors que les principaux membres se sont rangés du côté de la Russie.
Cela a conduit un chercheur qui espionnait l’opération à divulguer des milliers de messages échangés entre les opérateurs Conti et les affiliés.
La vengeance du chercheur s’est poursuivie jusqu’en mars en divulguant le code source du crypteur, du décrypteur et du constructeur du rançongiciel, ainsi que les panneaux administratifs [1, 2].
L’opération n’a pas tardé à s’effondrer et en mai 2022, les chefs d’équipe de Conti ont mis hors ligne l’infrastructure et ont annoncé que la marque n’existait plus.
La direction de Conti s’est associée à d’autres gangs dans le domaine de l’extorsion et les autres membres ont migré vers d’autres opérations de ransomware.
Le gouvernement américain estime que Conti était l’une des opérations de ransomware les plus lucratives, faisant des milliers de victimes et amassant plus de 150 millions de dollars en paiements de rançon.
Les dommages causés aux entreprises américaines ont déterminé le Département d’État américain à offrir une récompense pouvant atteindre 15 millions de dollars pour les informations identifiant et localisant les dirigeants et affiliés de Conti.