Conti
Conti est une opération de ransomware-as-a-service (RaaS) connue pour cibler les grandes organisations mondiales et les agences gouvernementales.
L'origine du Conti Ransomware
Conti a commencé comme malware utilisé pour la première fois par le groupe Wizard Spider basé en Russie en 2019. On pense qu'il s'agit du successeur du ransomware Ryuk, qui a ciblé plus de 100 entreprises américaines et internationales à partir d'août 2018. Au fil du temps, Conti est devenu un véritable modèle de ransomware-as-a-service (RaaS) utilisé par de nombreux groupes pour lancer des attaques. Il a été utilisé contre des entreprises mondiales et des agences gouvernementales, principalement en Amérique du Nord, pour voler des fichiers sensibles et exiger des millions de dollars de rançon de la part d'organisations à hauts revenus. Le Conti Ransomware Group a finalement été fermé en 2022 après s'être scindé en plusieurs groupes plus petits, mais ses méthodes persistent aujourd'hui.
Source : OCD & MITRE ATT&CK
Cibles
Les objectifs de Conti
Pays ciblés par le ransomware Conti
Conti a ciblé des centaines de victimes de l'Irlande au Costa Rica. Cependant, ses attaques les plus réussies ont eu lieu en Amérique du Nord.
Sources : Ransomware.live
Industries ciblées par le ransomware Conti
Le Conti Ransomware est principalement utilisé pour cibler les entreprises et les agences gouvernementales, en particulier en Amérique du Nord.
Source de l'image : Sophos
Industries ciblées par le ransomware Conti
Le Conti Ransomware est principalement utilisé pour cibler les entreprises et les agences gouvernementales, en particulier en Amérique du Nord.
Source de l'image : Sophos
Les victimes du ransomware Conti
À ce jour, 351 personnes ont été victimes du ransomware Conti. Parmi les victimes les plus connues figurent le Health Service Executive (HSE) d'Irlande, des administrations locales et plusieurs entreprises privées. L'attaque du HSE en 2021 a provoqué une perturbation généralisée des services de santé, illustrant l'impact opérationnel significatif de Conti.
Source : Ransomware.live
Méthode d'attaque
Méthode d'attaque de Conti ransomware
Conti utilise diverses techniques telles que phishing des courriels, des kits d'exploitation, des sites web compromis et des identifiants de protocole de bureau à distance (RDP) volés pour diffuser le ransomware. Il utilise également des botnets comme BazarLoader et TrickBot pour infiltrer les systèmes cibles.
À l'aide d'outils tels que Cobalt Strikeles opérateurs Conti exploitent les vulnérabilités et utilisent des techniques telles que l'usurpation d'identité de la conduite nommée (GetSystem) pour obtenir les privilèges de SYSTEM.
Les attaquants désactivent Windows Defender en modifiant la stratégie de groupe et utilisent des techniques d'obscurcissement pour dissimuler les activités malveillantes.
Conti utilise des outils tels que Mimikatz et Cobalt Strike pour vider les informations d'identification et voler les tickets Kerberos (overpass-the-hash).
cybercriminels exécuter des commandes à l'aide d'outils tels que nltest, net.exe et dsquery pour cartographier l'environnement réseau.
Les déplacements latéraux s'effectuent à l'aide de connexions SMB, PsExec et RDP, souvent par l'intermédiaire du point d'ancrage initial.
Le site malware recherche des fichiers et des répertoires sensibles, qui sont ensuite exfiltrés vers les serveurs des attaquants.
Le ransomware est exécuté en mémoire à l'aide d'outils tels que Cobalt Strike, il crypte les fichiers et rend les systèmes inutilisables.
Les données sont exfiltrées à l'aide des capacités de balisage de Cobalt Strikeou de scripts personnalisés sur des canaux sécurisés.
Conti crypte les fichiers critiques et laisse une note de rançon, exigeant un paiement pour décrypter et éviter l'exposition publique des données volées.
Accès Initial
Conti utilise diverses techniques telles que phishing des courriels, des kits d'exploitation, des sites web compromis et des identifiants de protocole de bureau à distance (RDP) volés pour diffuser le ransomware. Il utilise également des botnets comme BazarLoader et TrickBot pour infiltrer les systèmes cibles.
Élévation de privilèges
À l'aide d'outils tels que Cobalt Strikeles opérateurs Conti exploitent les vulnérabilités et utilisent des techniques telles que l'usurpation d'identité de la conduite nommée (GetSystem) pour obtenir les privilèges de SYSTEM.
Défense Evasion
Les attaquants désactivent Windows Defender en modifiant la stratégie de groupe et utilisent des techniques d'obscurcissement pour dissimuler les activités malveillantes.
Accès aux identifiants
Conti utilise des outils tels que Mimikatz et Cobalt Strike pour vider les informations d'identification et voler les tickets Kerberos (overpass-the-hash).
Découverte
cybercriminels exécuter des commandes à l'aide d'outils tels que nltest, net.exe et dsquery pour cartographier l'environnement réseau.
Mouvement latéral
Les déplacements latéraux s'effectuent à l'aide de connexions SMB, PsExec et RDP, souvent par l'intermédiaire du point d'ancrage initial.
Collection
Le site malware recherche des fichiers et des répertoires sensibles, qui sont ensuite exfiltrés vers les serveurs des attaquants.
Exécution
Le ransomware est exécuté en mémoire à l'aide d'outils tels que Cobalt Strike, il crypte les fichiers et rend les systèmes inutilisables.
Exfiltration
Les données sont exfiltrées à l'aide des capacités de balisage de Cobalt Strikeou de scripts personnalisés sur des canaux sécurisés.
Impact
Conti crypte les fichiers critiques et laisse une note de rançon, exigeant un paiement pour décrypter et éviter l'exposition publique des données volées.
MITRE ATT&CK Mapping
TTP utilisées par Conti Ransomware
TA0001: Initial Access
T1566
Phishing
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1112
Modify Registry
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter les menaces de ransomware comme Conti avec Vectra AI
Des milliers d'entreprises s'appuient sur de puissantes détections pilotées par l'IA pour trouver et stopper les attaques - avant d'être touchées par une demande de rançon.
Foire aux questions
Qu'est-ce que le ransomware Conti ?
Le ransomware Conti est un ransomware en tant que service qui a fait son apparition sur la scène des cyberattaques en 2019. C'est un ransomware extrêmement dommageable en raison de la vitesse à laquelle il chiffre les données et se propage à d'autres systèmes.
Qui se cache derrière le ransomware Conti ?
Conti a été développé par le célèbre gang russe de ransomware Wizard Spider en 2019, et a ensuite été utilisé par de nombreux sites cybercriminels en tant que ransomware-as-a-service (RaaS).
Comment fonctionne le ransomware Conti ?
Le ransomware Conti est diffusé par le biais de diverses méthodes telles que les attaques spear phishing et RDP. Une fois dans le système ciblé, il utilise à la fois le chiffrement et l'exfiltration des données pour une double extorsion - l'attaquant peut exiger un paiement à la fois pour le déchiffrement et pour éviter la divulgation des données volées.
Quels sont les secteurs ciblés par les attaques de ransomware de Conti ?
Conti est connu pour cibler les infrastructures et les systèmes critiques des agences gouvernementales et des grandes entreprises dans des secteurs tels que la santé et l'industrie manufacturière.
Quels sont les pays ciblés par les attaques du ransomware Conti ?
La plupart des victimes du ransomware Conti se trouvent au Canada et aux États-Unis, bien que des attaques notables aient également eu lieu au Royaume-Uni.
Combien d'organisations ont été touchées par le Conti Ransomware ?
Plus de 350 agences et organisations ont été victimes du rançongiciel Conti et ont payé collectivement des centaines de millions en rançons.
Quelles sont les conséquences d'une attaque par ransomware Conti ?
Les victimes du ransomware Conti ont dû payer des millions de dollars non seulement pour obtenir les clés de décryptage, mais aussi pour éviter la divulgation de données sensibles volées.
Comment les organisations peuvent-elles détecter et stopper les attaques de ransomware Conti ?
En plus des mesures préventives telles que l'authentification multifactorielle et la formation des employés à la cybersécurité, les organisations peuvent détecter et stopper les attaques de ransomware dès le début de leur progression grâce à des détections pilotées par l'IA.
Comment le ransomware Conti se propage-t-il ?
Les attaques RaaS comme Conti utilisent malware pour infiltrer les systèmes, voler des fichiers, crypter les serveurs de fichiers et exiger le paiement d'une rançon pour obtenir les clés de décryptage et empêcher la divulgation des données volées.
Quels sont les meilleurs moyens de prévenir une attaque de ransomware Conti ?
Le meilleur moyen de prévenir les ransomwares tels que Conti est de recourir à des détections pilotées par l'IA pour repérer les attaques dès le début de leur progression.