Comprendre pour prévenir : décryptage du ransomware Conti

Cropped Favicon Economi Matin.jpg
Par Brian Robison Publié le 26 mai 2021 à 6h28
Entreprises Stockage Donnees Protection Ransomwares
@shutter - © Economie Matin
255%Les attaques par ransomware en France ont grimpé de 255% selon l'ANSSI en 2020.

Encore récemment, le ransomware Conti a fait couler beaucoup d'encre en attaquant de nombreuses organisations à travers le monde. Les hackers, surnommés le « Conti Gang », sont un autre groupe de Ransomware-as-a-Service (RaaS) très similaire au récent DarkSide RaaS. Telle une organisation, ces groupes de hackers recrutent pour déployer au maximum leur ransomware en échange d'une part des bénéfices – une fois que les victimes ont payé.

Comme d'autres groupes de hackers utilisant les ransomwares, tel que REvil par exemple, le ransomware Conti a mis en place une tactique de double extorsion : le malware exfiltre d'abord les informations sensibles avant de procéder à leur chiffrement. Et pour inciter l'organisation ou le particulier victime de l'attaque à payer la rançon dans les délais, les hackers menacent ensuite de divulguer publiquement ou de vendre les informations confidentielles volées sur le dark web.

Le ransomware Conti existe depuis un moment maintenant. Repéré pour la première fois en 2020, il présente certaines similarités avec le ransomware Ryuk (code et méthodes utilisés), qui continue de sévir dans divers secteurs à travers le monde, et plus particulièrement celui de la santé.

Les cyberattaques réalisées grâce au ransomware Conti combinent des techniques d'attaque sophistiquées et des compétences humaines. Les hackers tentent alors de pénétrer dans le réseau, puis de se propager horizontalement en essayant d'obtenir des informations d’authentification. Une fois obtenues, ils peuvent alors déployer le ransomware, qui est souvent le premier signe visible que quelque chose ne va pas.

Êtes-vous vulnérable ?

Les groupes de hackers utilisant les ransomwares sont constamment à la recherche d'organisations et d’entreprises utilisant d’anciennes solutions et techniques de cybersécurité, et les prennent pour cible. Ces solutions ont généralement du mal à faire face aux attaques modernes et sophistiquées, car elles requièrent un échantillon du logiciel malveillant avant de pouvoir créer les signatures nécessaires pour s'en protéger.

Et quand bien même des signatures sont identifiées, leur diffusion sur l'ensemble des environnements de travail et réseaux de l'entreprise peut prendre des heures, voire des jours. Une signature peut être conçue pour arrêter uniquement un échantillon spécifique de ransomware. Il suffit alors d'une légère modification du fichier pour que la signature soit incapable d'empêcher l'exécution du nouveau fichier malveillant.

Les organisations qui s'appuient sur ces anciens systèmes de protection antivirus courent donc un risque bien plus grand que celles qui utilisent des solutions préventives qui ne suivent pas ce modèle.

En effet, même si votre entreprise dispose d'une solution moderne de protection des endpoints (EPP), ne vous attendez pas à ce qu'elle soit en mesure de restaurer vos données. Comme de nombreux autres groupes de ransomware, Conti supprime complètement les shadow copies du disque dur d’un système, ce qui rend toute restauration de données impossible.

Aucune organisation ou entreprise ne devrait souffrir d’une attaque par ransomware et de ses conséquences. Pour s’en protéger efficacement, elles doivent mettre en place une stratégie de prévention leur permettant d’anticiper les attaques et bloquer leur déploiement avant même que l’intrusion soit effective.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Chief Evangelist chez BlackBerry