Un nouveau variant du rançongiciel Conti


Howard Solomon - 25/04/2022

La souche de rançongiciel Conti ciblant l’hyperviseur ESXi de VMware semble être conçue pour être exécutée directement par un opérateur, affirment des chercheurs de Trellix.

Source : Just_Super / Getty

En comparaison, les versions Windows du logiciel malveillant s’exécutent indépendamment, ont déclaré les chercheurs dans un rapport publié la semaine dernière.  Cette conclusion fait partie d’une analyse d’un échantillon du variant ESXi du rançongiciel, sur lequel Trellix a mis la main plus tôt ce mois-ci.

L’existence d’une version ESXi de Conti n’est pas nouvelle, mais l’échantillon acquis par Trellix est le tout premier avec lequel l’entreprise était en contact.

Dans le cadre de l’analyse, les chercheurs ont étudié des messages d’un forum de discussion sur Conti divulgués le mois dernier afin de découvrir l’historique du variant. La capture d’un échantillon de ce variant, ainsi qu’une analyse des discussions divulguées, appuie la conclusion des chercheurs selon laquelle les développeurs de Conti continuent de fonctionner normalement, le groupe ajoutant régulièrement de nouvelles victimes à leur blog, explique Trellix.

La première mention d’un verrou Conti pour Linux dans les messages de discussion divulgués date du début de mai 2021, selon le rapport de Trellix. Environ six semaines plus tard, à la mi-juin, un développeur a envoyé un message indiquant que la version Linux du verrou n’était pas encore prête. Celui-ci suggérant que le verrou devrait peut-être être testé sur un cas réel – mais pas sur une grande entreprise. En réponse, un autre développeur a déclaré qu’une attaque contre un grand casino était presque finalisée et a suggéré qu’il puisse servir de cible.

Sur cette base de ces échanges, Trellix croit qu’un casino non identifié a été touché par cette souche à l’été 2021.

Les échanges montrent qu’un correctif était encore nécessaire pour le variant Linux jusqu’au début du mois de février, les développeurs l’ajustant pour différentes versions d’ESXi, y compris les versions 7.0 et ultérieures.

Le décrypteur associé à la version Linux de Conti – essentiel parce que c’est ce que les victimes achètent – avait également quelques problèmes. En juillet et août 2021, un développeur a signalé que le décrypteur n’avait pas supprimé l’extension de rançongiciel des fichiers de la victime. Un membre du gang a déclaré que la victime devait modifier manuellement l’extension des fichiers cryptés. Cependant, comme un grand volume de fichiers devait être traité, le développeur a été invité à revoir le décrypteur afin qu’il supprime automatiquement l’extension des fichiers décryptés.

Malgré quelques difficultés, Trellix affirme que le variant ESXi a commencé à être activement distribué en novembre 2021. En examinant les fuites de messages de Conti, les chercheurs pensent qu’on compte parmi les victimes des cabinets d’avocats, des entreprises du secteur automobile, des entreprises de logistique, des détaillants et des fournisseurs de services financiers.

Les discussions interceptées suggèrent que pour une victime, Conti avait fixé une rançon initiale à 20 millions de dollars, mais s’est ravisée et a finalement demandé 1 million de dollars, principalement parce que quelque chose s’était mal passé avec le verrouillage de la version Linux et au lieu de 800 serveurs ESXi, ils n’avaient réussi à verrouiller que 260 serveurs.

Toujours selon la même source, il semble que la victime ne voulait pas du décrypteur de Contiqui soupçonnait qu’elle avit réussi à récupérer et à restaurer ses systèmes.

« Cibler les hyperviseurs ESXi et ses machines virtuelles présente un intérêt particulier pour les criminels car l’impact sur les organisations qu’ils attaquent est énorme », ont déclaré les chercheurs de Trellix. « De nos jours, développer de nouveaux binaires spécifiquement pour chiffrer les machines virtuelles et leurs environnements de gestion est un thème commun dans le domaine des rançongiciels. »

Lire l’article au complet (en anglais) sur le site d’IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Des attaques par rançongiciel plus ciblées en 2022

Payer la rançon ne garantit pas de récupérer ses données

Panasonic Canada admet avoir été victime d’une cyberattaque

Traduction et adaptation française par Renaud Larue-Langlois 




Tags: , , , ,
Howard Solomon

À propos de Howard Solomon

Howard Solomon est le rédacteur en chef du portail ITworldcanada.com.