Actualités

ARMattack : rétrospective insécuritaire sur l’une des œuvres du cyber-groupe Conti !

Dense de quelques 64 pages, l’équipe Group-IB revient sur l’une des campagnes amorcées par les cyber-attaquants, ARMattack : entre le 17 Novembre et le 20 Décembre 2021, Conti a mis à mal pas moins de 40 organisations sur la planète entière, tout secteur d’activité confondu.

 

 

Répartition de la campagne par pays :

  • Etats-Unis (37 %),
  • Canada (3 %),
  • Allemagne (3 %),
  • Mexique (2 %),
  • Suisse (2 %),
  • Dubaï (2 %),
  • Inde (1 %),
  • Suède (1 %)
  • Pays-Bas (1 %),
  • Egypte (1 %),
  • Espagne (1 %),
  • Portugal (1 %),
  • Belgique (1 %),
  • République Tchèque (1 %),
  • France (1 %),
  • Argentine (1 %),
  • Royaume-Uni (1 %),
  • Danemark (1 %).

 

Ici (car parfois non-systématique), la charge virale CobaltStrike (mouvement latéral) est instillée pour préparer la charge (finale) en vue du ransomware (Conti) : de nombreux outils ou modules (dont Mimikatz qui, seul, n’est pas dangereux, pour rappel, en soit : c’est l’usage que l’on peut en faire qui peut potentiellement être tendancieux) sont alors exploités pour aspirer et extraire des données telles que les mots de passe ; revue de ces outils ou ressources ayant pu être utilisée toutes ou en partie par le cyber-groupe, dans une cyber-attaque donnée :

 

  • CobaltStrike,
  • Metasploit,
  • Mimikatz,
  • Lazagne,
  • AdFind,
  • Nmap,
  • PsExec,
  • nltest,
  • SharpHound,
  • PowerSploit,
  • SharpChromium,
  • SharpWeb,
  • Conti (ransomware),
  • Hive (ransomware),
  • fgdump.

 

Les étapes (principales) du schéma de cyber-attaque (général) :

 

  • Reconnaissance,
  • Accès initial,
  • Exécution,
  • Persistance,
  • Elévation de privilèges,
  • Contournement-système et masquage-activité,
  • Accès-identifiants,
  • Exploration et découverte,
  • Mouvement latéral,
  • Aspiration-données (collection, accumulation),
  • Serveur command-and-control,
  • Ex-filtration des données,
  • Charge finale ou finalités.

 

Conti a interagi étroitement avec d’autres opérateurs de ransomwares tels que Ryuk, Maze (ils ont même testé l’outil de Maze, l’ont rétro-conçu et ont considérablement amélioré leur propre ransomware), Netwalker et Lockbit“, indique les chercheurs tout en relatant une version Linux pour les deux ransomwares, Conti et Hive… A veiller !

 

 

 

Source : Group IB – Juin 2022 – Conti : retrospective insécuritaire (dont campagne ARMattack).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0