Un nouveau variant du rançongiciel Conti

La souche de rançongiciel Conti ciblant l’hyperviseur ESXi de VMware semble être conçue pour être exécutée directement par un opérateur, affirment des chercheurs de Trellix.

Source : Just_Super / Getty

En comparaison, les versions Windows du logiciel malveillant s’exécutent indépendamment, ont déclaré les chercheurs dans un rapport publié la semaine dernière.  Cette conclusion fait partie d’une analyse d’un échantillon du variant ESXi du rançongiciel, sur lequel Trellix a mis la main plus tôt ce mois-ci.

L’existence d’une version ESXi de Conti n’est pas nouvelle, mais l’échantillon acquis par Trellix est le tout premier avec lequel l’entreprise était en contact.

Dans le cadre de l’analyse, les chercheurs ont étudié des messages d’un forum de discussion sur Conti divulgués le mois dernier afin de découvrir l’historique du variant. La capture d’un échantillon de ce variant, ainsi qu’une analyse des discussions divulguées, appuie la conclusion des chercheurs selon laquelle les développeurs de Conti continuent de fonctionner normalement, le groupe ajoutant régulièrement de nouvelles victimes à leur blog, explique Trellix.

La première mention d’un verrou Conti pour Linux dans les messages de discussion divulgués date du début de mai 2021, selon le rapport de Trellix. Environ six semaines plus tard, à la mi-juin, un développeur a envoyé un message indiquant que la version Linux du verrou n’était pas encore prête. Celui-ci suggérant que le verrou devrait peut-être être testé sur un cas réel – mais pas sur une grande entreprise. En réponse, un autre développeur a déclaré qu’une attaque contre un grand casino était presque finalisée et a suggéré qu’il puisse servir de cible.

Sur cette base de ces échanges, Trellix croit qu’un casino non identifié a été touché par cette souche à l’été 2021.

Les échanges montrent qu’un correctif était encore nécessaire pour le variant Linux jusqu’au début du mois de février, les développeurs l’ajustant pour différentes versions d’ESXi, y compris les versions 7.0 et ultérieures.

Le décrypteur associé à la version Linux de Conti – essentiel parce que c’est ce que les victimes achètent – avait également quelques problèmes. En juillet et août 2021, un développeur a signalé que le décrypteur n’avait pas supprimé l’extension de rançongiciel des fichiers de la victime. Un membre du gang a déclaré que la victime devait modifier manuellement l’extension des fichiers cryptés. Cependant, comme un grand volume de fichiers devait être traité, le développeur a été invité à revoir le décrypteur afin qu’il supprime automatiquement l’extension des fichiers décryptés.

Malgré quelques difficultés, Trellix affirme que le variant ESXi a commencé à être activement distribué en novembre 2021. En examinant les fuites de messages de Conti, les chercheurs pensent qu’on compte parmi les victimes des cabinets d’avocats, des entreprises du secteur automobile, des entreprises de logistique, des détaillants et des fournisseurs de services financiers.

Les discussions interceptées suggèrent que pour une victime, Conti avait fixé une rançon initiale à 20 millions de dollars, mais s’est ravisée et a finalement demandé 1 million de dollars, principalement parce que quelque chose s’était mal passé avec le verrouillage de la version Linux et au lieu de 800 serveurs ESXi, ils n’avaient réussi à verrouiller que 260 serveurs.

Toujours selon la même source, il semble que la victime ne voulait pas du décrypteur de Contiqui soupçonnait qu’elle avit réussi à récupérer et à restaurer ses systèmes.

« Cibler les hyperviseurs ESXi et ses machines virtuelles présente un intérêt particulier pour les criminels car l’impact sur les organisations qu’ils attaquent est énorme », ont déclaré les chercheurs de Trellix. « De nos jours, développer de nouveaux binaires spécifiquement pour chiffrer les machines virtuelles et leurs environnements de gestion est un thème commun dans le domaine des rançongiciels. »

Lire l’article au complet (en anglais) sur le site d’IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Des attaques par rançongiciel plus ciblées en 2022

Payer la rançon ne garantit pas de récupérer ses données

Panasonic Canada admet avoir été victime d’une cyberattaque

Traduction et adaptation française par Renaud Larue-Langlois 

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Lancement du livre de Lise Lapointe, fondatrice de Terranova Security, The Human Fix to Human Risk 

Lise Lapointe, la fondatrice de Terranova Security (qui se nomme aujourd’hui Fortra), dévoilait récemment son nouveau livre The Human Fix to Human Risk : 5 étapes pour promouvoir une culture de sensibilisation à la cybersécurité. 

Une jeune pousse torontoise testera sa solution de distribution de clés à l’épreuve du quantique

Le gouvernement fédéral donne à une jeune pousse de Toronto l'occasion de prouver que sa nouvelle technologie pourrait aider à protéger les communications canadiennes cryptées d'aujourd'hui contre le piratage par des ordinateurs quantiques.

Indigo admet que la cyberattaque était un rançongiciel ; des données d’employés ont été consultées

Deux semaines après avoir été victime d’une cyberattaque, Indigo Books and Music a reconnu avoir été touchée par un rançongiciel et que les données d’employés avaient été compromises.

Détecter les intrusions avant une attaque

Par Avi Posesorsky, directeur des ventes chez Fortinet Avec leurs...

Google Cloud annonce de nouvelles solutions de sécurité

Google Cloud élargit son offre de cybersécurité et place sa récente acquisition de la société de cybersécurité Mandiant au premier plan de ses annonces de sécurité lors de la conférence Google Cloud Next 2022.