Le Conti Ransomware est une menace à venir ciblant les réseaux d’entreprise avec de nouvelles fonctionnalités qui lui permettent d’effectuer des attaques plus rapides et plus ciblées. Il y a également des indications que ce ransomware partage le même code malveillant que Ryuk, qui a lentement disparu, tandis que la distribution de Conti augmente.

Conti est un ransomware ciblant l’entreprise que BleepingComputer a commencé à suivre au début de juin 2020.

Le ransomware a été vu pour la première fois distribué lors d’attaques isolées fin décembre 2019. Au fil du temps, les attaques ont lentement augmenté, jusqu’à fin juin, lorsque nous avons constaté une augmentation du nombre de victimes sur le site d’identification de ransomware ID Ransomware.

Soumissions Conti sur ID Ransomware
Soumissions Conti sur ID Ransomware

Comme les autres infections de rançongiciels de cette catégorie, les opérateurs Conti violeront les réseaux d’entreprise et se répandront latéralement jusqu’à ce qu’ils obtiennent les informations d’identification d’administrateur de domaine. Une fois les privilèges administratifs obtenus, les acteurs de la menace déploient le rançongiciel pour crypter ses appareils.

On ne sait pas pour le moment si les opérateurs Conti volent également des fichiers sur les réseaux de leurs victimes avant de chiffrer.

La connexion Ryuk et Conti

En août 2017, le Hermes Ransomware était vendu sur le forum de piratage Exploit.in par un acteur de menace russophone.

Vitali Kremez d’Intel avancé pense que les acteurs de la menace pourraient avoir acheté ce générateur de ransomware et l’avoir transformé en Ryuk.

À un moment donné, les acteurs de la menace utilisant Ryuk se sont séparés, ont changé de marque ou ont décidé de passer au nom «Conti», qui semble être basé sur le code de Ryuk version 2.

Infos WEB:  La semaine des nouvelles sur Internet: les commandes à domicile soulignent la nécessité d'un accès à Internet

En plus des similitudes dans le code du logiciel malveillant, une note de rançon Conti plus descriptive a été vue qui utilise le même modèle exact utilisé par Ryuk dans les attaques précédentes.

Modèle de rançon par défaut partagé dans la base de code
Modèle de note de rançon partagée

En plus des notes de rançon, Kremez a vu la même infrastructure TrickBot utilisée par Ryuk et les acteurs de la menace Conti dans le cadre de …

Voir la source de cette publication