La marque de rançongiciel Conti est morte, mais le groupe se restructure

La marque du groupe de rançongiciel Conti est morte. C’est ce que concluent des chercheurs d’Advanced Intelligence. Son infrastructure liée aux négociations, aux téléchargements de données et à l’hébergement de données volées a été fermée.

Image : Getty

Mais il ne faut pas se réjouir trop vite car les chercheurs indiquent que le groupe s’est dispersé et opère sous un certain nombre de petites marques.

Cela fait partie d’un stratagème planifié qui a commencé il y a deux mois lorsque le groupe a exprimé son soutien à l’invasion de l’Ukraine par la Russie. Selon les chercheurs, cela a rendu la marque Conti toxique pour les agences de cyber-renseignement et les organisations touchées par le groupe. Depuis lors, presque aucune rançon n’a été versée au groupe. Son code de verrouillage est devenu facilement détectable par les spécialistes de la sécurité informatique et a rarement été déployé.

Les chercheurs d’AdvIntel affirment que le soutien de Conti à la Russie a violé une règle non écrite des cybercriminels : ne vous impliquez pas dans la politique. Un membre du groupe aurait été tellement en colère qu’il a divulgué des messages de chat privés de Conti .

Et l’offre des États-Unis de récompenses allant jusqu’à 10 millions de dollars américains pour des informations menant au démantèlement du groupe Conti le 6 mai n’a rien aidé. L’attaque très médiatisée contre les agences gouvernementales du Costa Rica était une diversion pendant sa restructuration, disent les chercheurs d’AdvIntel.

Et maintenant ? Conti adopte une structure organisationnelle en réseau, dit AdvIntel, qui est plus horizontale et décentralisée que sa hiérarchie auparavant rigide. « Cette structure sera une coalition de plusieurs subdivisions égales, dont certaines seront indépendantes, et certaines existant au sein d’un autre collectif de rançongiciels. Cependant, ils seront tous unis par une loyauté interne les uns envers les autres et envers la direction de Conti. »

Cette structure est différente du modèle « Ransomware-as-a-Service » (RaaS), explique AdvIntel, car ce réseau ne semble pas accepter de nouveaux membres. De plus, selon les chercheurs, contrairement au RaaS, ce modèle semble valoriser les opérations exécutées de manière organisée et dirigée par une équipe. Enfin, tous les membres se connaissent très bien personnellement et sont en mesure de tirer parti de ces relations personnelles et de la fidélité qui les accompagne.

Qu’est-ce que cela signifie pour les équipes de cybersécurité ? Pas grand chose. Il est toujours vital de se protéger contre toute cyberattaque en effectuant les étapes de base.

  • Inventorier et trier le matériel et les logiciels afin que les appareils et applications vitaux puissent être corrigés dès que des mises à jour de sécurité sont disponibles.
  • Utiliser l’authentification multifacteur pour tous les utilisateurs comme étape supplémentaire pour protéger les connexions et s’assurer que le personnel et les partenaires n’ont accès qu’aux données et aux systèmes dont ils ont besoin.
  • Segmenter les données et les réseaux.
  • Chiffrer les données confidentielles, qu’elles soient stockées ou en transit et avoir une copie de sauvegarde des données enregistrée hors ligne et hors site.
  • Tester les procédures de sauvegarde et de récupération pour s’assurer qu’elles fonctionnent et que le personnel sait quoi faire.
  • Disposer d’un plan de réponse aux incidents régulièrement testé.

Pour plus de conseils, consultez les rapports du groupe de travail sur les ransomwares (en anglais), les ressources sur les ransomwares du Centre canadien pour la cybersécurité et le site Web Stop Ransomware de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis (en anglais).

Pour plus de détails, l’article original (en anglais) est disponible sur le site IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Les tendances des rançongiciels

Un nouveau variant du rançongiciel Conti

Traduction et adaptation française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Une nouvelle souche de rançongiciel serait la plus rapide à exécuter le chiffrement

Une nouvelle souche de rançongiciel, considérée comme le maliciel de chiffrement le plus rapide à s'exécuter, a été découverte. 

Indigo admet que la cyberattaque était un rançongiciel ; des données d’employés ont été consultées

Deux semaines après avoir été victime d’une cyberattaque, Indigo Books and Music a reconnu avoir été touchée par un rançongiciel et que les données d’employés avaient été compromises.

Les RSSI doivent être proactifs dans leurs cyberstratégies, affirme un conférencier au MapleSEC

Les professionnels de la sécurité de l'information devraient être plus agressifs dans leurs stratégies de cybersécurité, a déclaré un expert lors de la conférence MapleSEC de cette semaine.

Pourquoi appeler la police après une cyberattaque ? Parce qu’ils attendent votre appel

Il existe de nombreuses raisons de signaler une cyberattaque réussie à votre service de police local. Le constable enquêteur Doug MacRae, de la section de la cybercriminalité de la Police régionale de York en Ontario a le meilleur : « Vos impôts paient notre salaire », a-t-il déclaré aux pros de la sécurité des TI lors d'une conférence le mois dernier, « alors utilisez-nous ».

La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.