La marque du groupe de rançongiciel Conti est morte. C’est ce que concluent des chercheurs d’Advanced Intelligence. Son infrastructure liée aux négociations, aux téléchargements de données et à l’hébergement de données volées a été fermée.
Mais il ne faut pas se réjouir trop vite car les chercheurs indiquent que le groupe s’est dispersé et opère sous un certain nombre de petites marques.
Cela fait partie d’un stratagème planifié qui a commencé il y a deux mois lorsque le groupe a exprimé son soutien à l’invasion de l’Ukraine par la Russie. Selon les chercheurs, cela a rendu la marque Conti toxique pour les agences de cyber-renseignement et les organisations touchées par le groupe. Depuis lors, presque aucune rançon n’a été versée au groupe. Son code de verrouillage est devenu facilement détectable par les spécialistes de la sécurité informatique et a rarement été déployé.
Les chercheurs d’AdvIntel affirment que le soutien de Conti à la Russie a violé une règle non écrite des cybercriminels : ne vous impliquez pas dans la politique. Un membre du groupe aurait été tellement en colère qu’il a divulgué des messages de chat privés de Conti .
Et l’offre des États-Unis de récompenses allant jusqu’à 10 millions de dollars américains pour des informations menant au démantèlement du groupe Conti le 6 mai n’a rien aidé. L’attaque très médiatisée contre les agences gouvernementales du Costa Rica était une diversion pendant sa restructuration, disent les chercheurs d’AdvIntel.
Et maintenant ? Conti adopte une structure organisationnelle en réseau, dit AdvIntel, qui est plus horizontale et décentralisée que sa hiérarchie auparavant rigide. « Cette structure sera une coalition de plusieurs subdivisions égales, dont certaines seront indépendantes, et certaines existant au sein d’un autre collectif de rançongiciels. Cependant, ils seront tous unis par une loyauté interne les uns envers les autres et envers la direction de Conti. »
Cette structure est différente du modèle « Ransomware-as-a-Service » (RaaS), explique AdvIntel, car ce réseau ne semble pas accepter de nouveaux membres. De plus, selon les chercheurs, contrairement au RaaS, ce modèle semble valoriser les opérations exécutées de manière organisée et dirigée par une équipe. Enfin, tous les membres se connaissent très bien personnellement et sont en mesure de tirer parti de ces relations personnelles et de la fidélité qui les accompagne.
Qu’est-ce que cela signifie pour les équipes de cybersécurité ? Pas grand chose. Il est toujours vital de se protéger contre toute cyberattaque en effectuant les étapes de base.
- Inventorier et trier le matériel et les logiciels afin que les appareils et applications vitaux puissent être corrigés dès que des mises à jour de sécurité sont disponibles.
- Utiliser l’authentification multifacteur pour tous les utilisateurs comme étape supplémentaire pour protéger les connexions et s’assurer que le personnel et les partenaires n’ont accès qu’aux données et aux systèmes dont ils ont besoin.
- Segmenter les données et les réseaux.
- Chiffrer les données confidentielles, qu’elles soient stockées ou en transit et avoir une copie de sauvegarde des données enregistrée hors ligne et hors site.
- Tester les procédures de sauvegarde et de récupération pour s’assurer qu’elles fonctionnent et que le personnel sait quoi faire.
- Disposer d’un plan de réponse aux incidents régulièrement testé.
Pour plus de conseils, consultez les rapports du groupe de travail sur les ransomwares (en anglais), les ressources sur les ransomwares du Centre canadien pour la cybersécurité et le site Web Stop Ransomware de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis (en anglais).
Lire aussi :
Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels
Les tendances des rançongiciels
Un nouveau variant du rançongiciel Conti
Traduction et adaptation française par Renaud Larue-Langlois
