Ransomware : DarkSide et Conti menacent à leur tour de divulguer les données

Le club des cyberdélinquants qui, non contents de demander une rançon pour débloquer les machines compromises, menacent en plus de divulguer des données dérobées à l’occasion de leur cyberattaque, compte deux nouveaux membres : DarkSide et Conti se joignent aux Nephilim, Clop, Sekhmet, Maze, Sodinokibi, DoppelPaymer, Pysa, ou encore Netwalker, Avaddon et Ako.

Le voile a été ouvertement levé sur DarkSide début août. Une seule victime apparaît pour l’heure sur son site Web de divulgation. Comme d’habitude, les opérateurs menacent là publier les données dérobées en cas de refus de paiement : « nous publierons toutes vos données et les stockeront sur nos CDNs TOR durant au moins 6 moins ». Et bien sûr, « nous adresserons une notification de la fuite aux médias et à vos partenaires et clients ».

Accessoirement, les opérateurs de DarkSide l’assurent : « nous n’attaquons que des entreprises qui peuvent payer le montant demandé, nous ne voulons pas tuer votre activité ».

Vitali Kremez a observé des similitudes avec les opérations du groupe Revil. MalwareHunterTeam relève accessoirement que DarkSide embarque du code conçu pour éviter de frapper les pays de la CEI, une pratique observée chez GandCrad et le groupe Revil, aux manettes de Sodinokibi, vu comme le successeur de Gandcrab.

Pour l’heure, le site de DarkSide n’affiche qu’une victime récalcitrante. Celui de Conti en étale déjà près d'une trentaine, dont Marriott, Volkswagen AG (quoique, pour celui-ci, l'affirmation apparaît à ce stade déplacée) et Peugeot Motocycles. Et outre cet éventail déjà étendu, ce nouveau venu a toutes les allures d’une mauvaise nouvelle.

Carbon Black s’est penché sur Conti début juillet. Dans un billet de blog, Brian Baskin, directeur technique des équipes de recherche sur les menaces de l’éditeur, évoque un ransomware doté de « caractéristiques uniques que le distinguent en termes de performances et de concentration sur les cibles réseau ». Ce maliciel utilise notamment de nombreux threads pour réussir à conduire simultanément jusqu’à 32 tâches de chiffrement. Il peut en outre être exécuté de sorte à laisser de côté les fichiers en local pour se concentrer sur les partages SMB, « y compris ceux figurant dans une liste d’adresses IP spécifiquement fournie par l’adversaire ». En somme, l’assaillant peut effectuer sa reconnaissance du réseau, énumérer les ressources SMB, et indiquer à son ransomware de concentrer ses efforts sur le chiffrement de leur contenu.

Sans trop de surprise, Conti s’attache à saper les efforts futurs des équipes de réponse à incident en effaçant les copies fantôme de Windows et arrêtant certains processus de protection, dont ceux liés aux outils d’Acronis ou de Veeam. Pour Brian Baskin, les commandes associées « reproduisent largement celles que l’on trouve également dans la famille Ryuk ».

Les équipes de Carbon Black ne sont pas les seules à soupçonner une parenté entre Conti et Ryuk. Celles d’Arete regardent dans la même direction. Début août, elles ont publié une note complète dédiée à ce rençongiciel. Et de trouver des similarités avec Ryuk dans les méthodes de communication avec les victimes : deux adresses e-mail spécifiques à la victime ; de quoi savoir avec qui elles communiquent. Et selon Arete, comme pour Ryuk, les opérateurs de Conti « font des recherches sur leurs victimes et déterminent la rançon on fonction de ce qu’ils pensent qu’elles peuvent payer ».

La vraie différence entre Ryuk et Conti tient au fait que le premier n’exfiltre très généralement pas de données – seulement dans 7 % des cas, selon Arete. De là à imaginer que Conti soit pensé comme un complément ou comme un successeur de Ryuk, il n’y a qu’un pas. Selon VK Intel – récemment fondé par Vitali Kremez, encien patron des SentinelLabs et aujourd’hui conseiller stratégique de l’éditeur –, Conti, actif depuis le mois de février, apparaît distribué via TrickBot.