Dans la jungle des rançongiciels, il y en a un que l’on rencontre assez souvent en intervention : Conti. Visitons l’intérieur du rançongiciel qui a réussi à accumuler plus de 25 millions de dollars depuis juillet 2021.
1. Contexte
Conti est un rançongiciel de type Ransomware-as-a-Service qui est apparu en 2019. Il est le digne héritier de Ryuk [1] et semble être développé par le même groupe : Wizard Spider.
Il y aurait eu plus de 400 attaques utilisant Conti comptabilisées par le FBI et le CISA, impactant aussi bien des PME, des groupes internationaux du secteur privé ou public comme des services de santé [2]. Le tout générant plus de 25 millions de dollars de rançon, depuis juin 2021 [3].
La distribution de Conti est variée et dépend de ses affiliés. Ces derniers peuvent exploiter des vulnérabilités récentes sur les services exposés publiquement (Fortigate [4], Log4j [5], ProxyShell [6]). Le rançongiciel Conti est également déployé comme étape finale d’une campagne d’hameçonnage (Qakbot [7]…).
Lors d’une des réponses à incident de Digital Security impliquant Conti, nous avons pu récupérer une des versions récentes de Conti (conti_v3.dll), dont...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première