Le tristement célèbre groupe de rançongiciels connu sous le nom de Conti a a continué son assaut contre des entités malgré sa propre fuite massive de données plus tôt cette année, selon de nouvelles recherches.
Conti, attribué à un acteur menaçant basé en Russie connu sous le nom de Ulrick d’orest l’une des souches de logiciels malveillants les plus répandues dans le paysage des ransomwares, représentant 19 % de toutes les attaques au cours de la période de trois mois entre octobre et décembre 2021.
L’un des groupes de rançongiciels les plus prolifiques de l’année dernière avec LockBit 2.0, PYSA et Hive, Conti a verrouillé les réseaux des hôpitaux, des entreprises et des agences gouvernementales, tout en recevant une rançon en échange du partage de la clé de déchiffrement en tant que partie de son système de nom et honte.
Mais après que le cartel cybercriminel ait soutenu la Russie lors de son invasion de l’Ukraine en février, un chercheur ukrainien anonyme en sécurité sous le nom de Twitter ContiLeaks a commencé à divulguer le code source ainsi que des conversations privées entre ses membres, offrant un aperçu sans précédent du groupe. fonctionnements.
« Les discussions révèlent un écosystème de cybercriminalité mature à travers plusieurs groupes de menaces avec une collaboration et une assistance fréquentes », a déclaré Secureworks. mentionné dans un rapport publié en mars. Les groupes comprennent Gold Blackburn (TrickBot et Diavol), Gold Crestwood (Emotet), Gold Mystic (LockBit) et Gold Swathmore (IcedID).
En effet, les processeurs Intel 471 suivi technique des campagnes Emotet entre le 25 décembre 2021 et le 25 mars 2022, ont identifié que plus d’une douzaine de cibles de ransomware Conti étaient, en fait, victimes d’attaques de malspam Emotet, soulignant comment les deux opérations sont liées.
Cela dit, les fuites ne semblent pas avoir freiné les activités du syndicat, le nombre de victimes de Conti publié en mars ayant atteint le deuxième total mensuel le plus élevé depuis janvier 2021, selon la société de cybersécurité.
De plus, le groupe aurait ajouté 11 victimes au cours des quatre premiers jours d’avril, alors même que les opérateurs continuent de « faire évoluer ses ransomwares, ses méthodes d’intrusion et ses approches » en réponse à la divulgation publique de leur arsenal.
Les conclusions ont également été corroborées par Groupe CNC à la fin du mois dernier, qui a déclaré que « les opérateurs Conti poursuivent leurs activités comme d’habitude en procédant à la compromission des réseaux, en exfiltrant les données et enfin en déployant leur ransomware ».
Un réseau de connexions entre Conti et Karakurt
Le développement vient comme financier et chevauchements tactiques ont été découverts entre Conti et le groupe d’extorsion de données Karakurt sur la base d’informations publiées au cours de la saga ContiLeaks, des semaines après que les opérateurs de TrickBot aient été englobés dans le cartel des rançongiciels.
Une analyse des transactions blockchain associées aux adresses de crypto-monnaie appartenant à Karakurt a montré que « les portefeuilles Karakurt envoient des sommes substantielles de crypto-monnaie aux portefeuilles Conti », selon un enquête conjointe par des chercheurs d’Arctic Wolf et de Chainalysis.
L’hébergement de portefeuille partagé impliquerait également le ransomware Diavol du gang TrickBot, aujourd’hui disparu, avec une « adresse d’extorsion Diavol hébergée par un portefeuille contenant des adresses utilisées dans les attaques de ransomware Conti », indiquant que Diavol est déployé par le même ensemble d’acteurs derrière Conti et Karakurt.
Un examen médico-légal plus approfondi d’un client anonyme qui a été touché par une vague d’attaques d’extorsion à la suite d’une infection par le rançongiciel Conti a révélé que le deuxième groupe a utilisé la même porte dérobée Cobalt Strike laissée par Conti, ce qui implique une forte association entre des acteurs de la cybercriminalité apparemment disparates.
« Il reste à voir si Karakurt est une agitation secondaire élaborée par les agents de Conti et Diavol ou s’il s’agit d’une entreprise sanctionnée par l’ensemble de l’organisation », a déclaré Arctic Wolf.
« Cette connexion explique peut-être pourquoi Karakurt survit et prospère malgré la disparition de certains de ses concurrents uniquement exfiltrants », ont déclaré les chercheurs, ajoutant : « Ou, alternativement, c’était peut-être l’essai d’une diversification stratégique autorisée par le groupe principal. «