Le FBI affirme avoir observé 16 attaques de ransomware Conti qui ciblaient les réseaux de soins de santé et de premiers intervenants aux États-Unis au cours de l’année écoulée.

Détaillé pour la première fois en juillet 2020, Conti est devenu une menace majeure, avec plus de 400 organisations dans le monde (290 aux États-Unis) touchées par le ransomware à ce jour. Les opérateurs de Conti semblent adapter le montant de la rançon à la victime et ont récemment demandé jusqu’à 25 millions de dollars – mais les victimes ont la possibilité de négocier le montant.

Les opérateurs Conti volent les données des victimes en plus de crypter les fichiers sur les serveurs et les postes de travail, menaçant de divulguer les données volées au public à moins que la rançon ne soit payée.

Les organisations de santé américaines et les premiers intervenants touchés par Conti depuis son émergence comprennent les centres de répartition du 9-1-1, les services médicaux d’urgence, les organismes d’application de la loi et les municipalités, révèle le FBI dans une alerte récemment publiée.

Pour l’accès initial aux réseaux victimes, les opérateurs de Conti utilisent des pièces jointes malveillantes (documents Word militarisés avec des scripts intégrés) et des liens de courrier électronique, ainsi que des informations d’identification RDP (Remote Desktop Protocol).

Une attaque Conti typique commence avec le document malveillant abandonnant Cobalt Strike et Emotet, les attaquants résidant dans le réseau de la victime entre quatre jours et trois semaines en moyenne avant d’installer le ransomware.

Une fois à l’intérieur du réseau, l’adversaire exploite les outils existants et en déploie d’autres si nécessaire, y compris Windows Sysinternals et Mimikatz, pour l’élévation des privilèges et les mouvements latéraux. L’adversaire déploie également le malware TrickBot en cas de besoin.

Les victimes sont invitées à contacter les opérateurs de ransomware pour obtenir des instructions sur la façon d’effectuer le paiement. Si la victime ne répond pas dans la fenêtre de temps spécifiée, les attaquants les appellent souvent à partir de numéros VOIP à usage unique, mais ils ont également été observés en utilisant ProtonMail …