Le tristement c\u00e9l\u00e8bre groupe de ran\u00e7ongiciels connu sous le nom de Conti a a continu\u00e9<\/a> son assaut contre des entit\u00e9s malgr\u00e9 sa propre fuite massive de donn\u00e9es plus t\u00f4t cette ann\u00e9e, selon de nouvelles recherches.<\/p>\n Conti, attribu\u00e9 \u00e0 un acteur mena\u00e7ant bas\u00e9 en Russie connu sous le nom de Ulrick d’or<\/b>est l’une des souches de logiciels malveillants les plus r\u00e9pandues dans le paysage des ransomwares, repr\u00e9sentant 19 % de toutes les attaques au cours de la p\u00e9riode de trois mois entre octobre et d\u00e9cembre 2021.<\/p>\n L’un des groupes de ran\u00e7ongiciels les plus prolifiques de l’ann\u00e9e derni\u00e8re avec LockBit 2.0, PYSA et Hive, Conti a verrouill\u00e9 les r\u00e9seaux des h\u00f4pitaux, des entreprises et des agences gouvernementales, tout en recevant une ran\u00e7on en \u00e9change du partage de la cl\u00e9 de d\u00e9chiffrement en tant que partie de son syst\u00e8me de nom et honte.<\/p>\n Mais apr\u00e8s que le cartel cybercriminel ait soutenu la Russie lors de son invasion de l’Ukraine en f\u00e9vrier, un chercheur ukrainien anonyme en s\u00e9curit\u00e9 sous le nom de Twitter ContiLeaks a commenc\u00e9 \u00e0 divulguer le code source ainsi que des conversations priv\u00e9es entre ses membres, offrant un aper\u00e7u sans pr\u00e9c\u00e9dent du groupe. fonctionnements.<\/p>\n “Les discussions r\u00e9v\u00e8lent un \u00e9cosyst\u00e8me de cybercriminalit\u00e9 mature \u00e0 travers plusieurs groupes de menaces avec une collaboration et une assistance fr\u00e9quentes”, a d\u00e9clar\u00e9 Secureworks. mentionn\u00e9<\/a> dans un rapport publi\u00e9 en mars. Les groupes comprennent Gold Blackburn (TrickBot et Diavol), Gold Crestwood (Emotet), Gold Mystic (LockBit) et Gold Swathmore (IcedID).<\/p>\n En effet, les processeurs Intel 471 suivi technique<\/a> des campagnes Emotet entre le 25 d\u00e9cembre 2021 et le 25 mars 2022, ont identifi\u00e9 que plus d’une douzaine de cibles de ransomware Conti \u00e9taient, en fait, victimes d’attaques de malspam Emotet, soulignant comment les deux op\u00e9rations sont li\u00e9es.<\/p>\n Cela dit, les fuites ne semblent pas avoir frein\u00e9 les activit\u00e9s du syndicat, le nombre de victimes de Conti publi\u00e9 en mars ayant atteint le deuxi\u00e8me total mensuel le plus \u00e9lev\u00e9 depuis janvier 2021, selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n De plus, le groupe aurait ajout\u00e9 11 victimes au cours des quatre premiers jours d’avril, alors m\u00eame que les op\u00e9rateurs continuent de “faire \u00e9voluer ses ransomwares, ses m\u00e9thodes d’intrusion et ses approches” en r\u00e9ponse \u00e0 la divulgation publique de leur arsenal.<\/p>\n Les conclusions ont \u00e9galement \u00e9t\u00e9 corrobor\u00e9es par Groupe CNC<\/a> \u00e0 la fin du mois dernier, qui a d\u00e9clar\u00e9 que “les op\u00e9rateurs Conti poursuivent leurs activit\u00e9s comme d’habitude en proc\u00e9dant \u00e0 la compromission des r\u00e9seaux, en exfiltrant les donn\u00e9es et enfin en d\u00e9ployant leur ransomware”.<\/p>\n Le d\u00e9veloppement vient comme financier et chevauchements tactiques<\/a> ont \u00e9t\u00e9 d\u00e9couverts entre Conti et le groupe d’extorsion de donn\u00e9es Karakurt sur la base d’informations publi\u00e9es au cours de la saga ContiLeaks, des semaines apr\u00e8s que les op\u00e9rateurs de TrickBot aient \u00e9t\u00e9 englob\u00e9s dans le cartel des ran\u00e7ongiciels.<\/p>\n Une analyse des transactions blockchain associ\u00e9es aux adresses de crypto-monnaie appartenant \u00e0 Karakurt a montr\u00e9 que “les portefeuilles Karakurt envoient des sommes substantielles de crypto-monnaie aux portefeuilles Conti”, selon un enqu\u00eate conjointe<\/a> par des chercheurs d’Arctic Wolf et de Chainalysis.<\/p>\n L’h\u00e9bergement de portefeuille partag\u00e9 impliquerait \u00e9galement le ransomware Diavol du gang TrickBot, aujourd’hui disparu, avec une “adresse d’extorsion Diavol h\u00e9berg\u00e9e par un portefeuille contenant des adresses utilis\u00e9es dans les attaques de ransomware Conti”, indiquant que Diavol est d\u00e9ploy\u00e9 par le m\u00eame ensemble d’acteurs derri\u00e8re Conti et Karakurt.<\/p>\n Un examen m\u00e9dico-l\u00e9gal plus approfondi d’un client anonyme qui a \u00e9t\u00e9 touch\u00e9 par une vague d’attaques d’extorsion \u00e0 la suite d’une infection par le ran\u00e7ongiciel Conti a r\u00e9v\u00e9l\u00e9 que le deuxi\u00e8me groupe a utilis\u00e9 la m\u00eame porte d\u00e9rob\u00e9e Cobalt Strike laiss\u00e9e par Conti, ce qui implique une forte association entre des acteurs de la cybercriminalit\u00e9 apparemment disparates.<\/p>\n “Il reste \u00e0 voir si Karakurt est une agitation secondaire \u00e9labor\u00e9e par les agents de Conti et Diavol ou s’il s’agit d’une entreprise sanctionn\u00e9e par l’ensemble de l’organisation”, a d\u00e9clar\u00e9 Arctic Wolf.<\/p>\n “Cette connexion explique peut-\u00eatre pourquoi Karakurt survit et prosp\u00e8re malgr\u00e9 la disparition de certains de ses concurrents uniquement exfiltrants”, ont d\u00e9clar\u00e9 les chercheurs, ajoutant : “Ou, alternativement, c’\u00e9tait peut-\u00eatre l’essai d’une diversification strat\u00e9gique autoris\u00e9e par le groupe principal. “<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\nUn r\u00e9seau de connexions entre Conti et Karakurt<\/h3>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650971847_214_Gold-Ulrick-Hackers-toujours-en-action-malgre-la-fuite-massive.jpg\")
<\/div>\n