Dense de quelques 64 pages, l’équipe Group-IB revient sur l’une des campagnes amorcées par les cyber-attaquants, ARMattack : entre le 17 Novembre et le 20 Décembre 2021, Conti a mis à mal pas moins de 40 organisations sur la planète entière, tout secteur d’activité confondu.
Répartition de la campagne par pays :
- Etats-Unis (37 %),
- Canada (3 %),
- Allemagne (3 %),
- Mexique (2 %),
- Suisse (2 %),
- Dubaï (2 %),
- Inde (1 %),
- Suède (1 %)
- Pays-Bas (1 %),
- Egypte (1 %),
- Espagne (1 %),
- Portugal (1 %),
- Belgique (1 %),
- République Tchèque (1 %),
- France (1 %),
- Argentine (1 %),
- Royaume-Uni (1 %),
- Danemark (1 %).
Ici (car parfois non-systématique), la charge virale CobaltStrike (mouvement latéral) est instillée pour préparer la charge (finale) en vue du ransomware (Conti) : de nombreux outils ou modules (dont Mimikatz qui, seul, n’est pas dangereux, pour rappel, en soit : c’est l’usage que l’on peut en faire qui peut potentiellement être tendancieux) sont alors exploités pour aspirer et extraire des données telles que les mots de passe ; revue de ces outils ou ressources ayant pu être utilisée toutes ou en partie par le cyber-groupe, dans une cyber-attaque donnée :
- CobaltStrike,
- Metasploit,
- Mimikatz,
- Lazagne,
- AdFind,
- Nmap,
- PsExec,
- nltest,
- SharpHound,
- PowerSploit,
- SharpChromium,
- SharpWeb,
- Conti (ransomware),
- Hive (ransomware),
- fgdump.
Les étapes (principales) du schéma de cyber-attaque (général) :
- Reconnaissance,
- Accès initial,
- Exécution,
- Persistance,
- Elévation de privilèges,
- Contournement-système et masquage-activité,
- Accès-identifiants,
- Exploration et découverte,
- Mouvement latéral,
- Aspiration-données (collection, accumulation),
- Serveur command-and-control,
- Ex-filtration des données,
- Charge finale ou finalités.
“Conti a interagi étroitement avec d’autres opérateurs de ransomwares tels que Ryuk, Maze (ils ont même testé l’outil de Maze, l’ont rétro-conçu et ont considérablement amélioré leur propre ransomware), Netwalker et Lockbit“, indique les chercheurs tout en relatant une version Linux pour les deux ransomwares, Conti et Hive… A veiller !
Source : Group IB – Juin 2022 – Conti : retrospective insécuritaire (dont campagne ARMattack).