Actualités

[MAJ 28 / 4] Conti : IcedID, Nordex, Karakurt, communiqués… l’essentiel des offensives des cyber-attaquants, pour la première quinzaine d’Avril 2022 !

 

>>> Mise à jour du 28 Avril 2022 : de plus amples informations (extrait des messages – capture-écran par VXUnderground, le 27 Avril 2022) ont été données quand aux messages à l’encontre d’entreprises situées au Costa Rica et la DIGIMIN, au Pérou… A suivre ! <<<

 


Actualité originelle, le 20 Avril 2022

Le ransomware Conti continue d’évoluer voire de se diversifier : en plus de cibler certaines entreprises comme, dernière en date, Nordex, l’activité insécuritaire des cyber-attaquants tend à se diversifier via Karakurt, sorte de sous-filiale du groupe Conti en passant par l’exploitation d’une campagne pour distiller des URLs malicieuses… retour sur cette première quinzaine du mois d’Avril, assez mouvementée et concernant uniquement le ransomware.

 

 

Depuis le 31 Mars 2022, le groupe Nordex, qui installe et entretient des éoliennes sur la planète entière,  a été impacté par une cyber-attaque. Même si le communiqué du 12 Avril ne le précise pas, la cyber-attaque aurait été revendiquée le 11 Avril 2022 par Conti, depuis son site officiel (réseau .onion), selon les retours publiés par Brett Callow, sur Twitter, le 14 Avril 2022.

 

En parallèle et depuis le 15 Avril 2022, une “annonce importante” a été publiée par les cyber-attaquants : suite à la publication d’un article mettant en lien bon nombre de points communs entre le cyber-groupe Conti et Karakurt (Web), une faille de divulgation a été prononcée, depuis le blog officiel des cyber-attaquants. Certains fin limiers-observateurs tels que DarkFeed ont vu apparaître (puis disparaître presque sur le vif) deux victimes du ransomware ; à savoir le Ministère des Finances du Costa Rica et “un grand détaillant de vêtements et d’accessoires des Etats-Unis”, selon le tweet du 17 Avril 2022.

 

L’analyse de chaînes a identifié des dizaines d’adresses de crypto-monnaie appartenant au Karakurt, éparpillées sur plusieurs portefeuilles. Les paiements des victimes à ces adresses vont de 45 000 $ à 1 million de dollars de crypto-monnaie […] nous pouvons voir des exemples de portefeuilles de Karakurt envoyant des sommes importantes de crypto-monnaies aux portefeuilles de Conti“, indiquait ainsi dans son billet de blog ArcticWolf, le 15 Avril 2022 tout en expliquant que les analyses de l’équipe The DFIR Report, au détour d’un billet du 13 Décembre 2021 consacré au ransomware Diavol, mettait en avant des points communs – au niveau du loader, en plus de détails sur les discussions du cyber-groupe depuis Jabber entre Février et Mars 202 – entre les deux ransomwares que sont Conti et Diavol. “Dans les chats, Stern (l’administrateur du groupe Trickbot et le gestionnaire de Conti) a écrit à Mango (le gestionnaire de personnes) au début juillet 2021 pour informer que Baget, un autre opérateur, avait terminé le casier Diavol et qu’il était revenu propre sur des tests de détection antivirus“.

 

D’autres détails subtilisés vraisemblablement au cyber-groupe Conti et reportés, également dans un billet sécuritaire de l’équipe The DFIR Report, depuis le 4 Avril 2022, font état, au moins depuis Décembre 2021, d’une campagne nommée IcedID : observé, au moins, depuis 2017, il s’agit d’un trojan bancaire distribué au détour de mails intégrant des liens ou URLs qui déclencheront le DLL malicieux et, en finalité des charges comme (entre-autres) CobaltStrike (Beacon), en passant, bien sûr, par le ransomware Conti (Ryuk).

 

Des cas techniques ont été démontrés par Microsoft (365 Defender Threat Intelligence), le 9 Avril 2021 : “les messages mentionnent systématiquement un leurre de la demande de copyright par un photographe, illustrateur ou concepteur avec la même urgence pour cliquer sur le lien sites.google.com“, était-il déjà expliqué, à l’époque.

En aparté ou pour aller plus loin dans la réflexion-analyse, l’équipe NCC Research partage son point de vue en la matière, dans un billet dédié à la stratégie des cyber-attaquants Conti, depuis le 31 Mars 2022… A veiller !

 

 

 

Sources :




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6