Ransomware : comment les Conti préparent leurs cyberattaques

Les fuites de conversations internes au cybergang continuent d’apporter de précieux éclairages, tant sur l’organisation du groupe et ses outils que sur ses techniques, tactiques et procédures. Mais ils éclairent également sur certains aspects méconnus de la menace que représentent les ransomwares.

Le 5 juillet 2021, en début d’après-midi, Liam interpelle Fire. Le premier semble faire partie des équipes chargées de conduire effectivement les cyberattaques. Le second semble avoir la main sur les accès initiaux et assurer la distribution des missions.

Les accès initiaux sont l’une des clés de voûte de l’économie souterraine des ransomwares : comme leur nom le suggère, ils sont utilisés, par les attaquants, pour s’introduire dans le système d’information de leurs victimes en devenir. Certains cyberdélinquants lançant des attaques avec rançongiciel établissent eux-mêmes leurs accès initiaux, à l’instar du groupe Karma. Ce dernier nous avait indiqué, l’an dernier, dans un échange de mails, procéder ainsi. D’autres groupes les achètent auprès de courtiers, les initial access brokers (IAB).

La demande de Liam est simple : « peux-tu m’envoyer une liste d’entreprises ? ». « Bien sûr », lui répond Fire. Selon toute vraisemblance, il s’agit là d’une liste d’organisations pour lesquelles le gang dispose d’accès initiaux fonctionnels.

Quelques minutes plus tard, Fire présente ladite liste. Les noms de 30 entreprises y figurent. Un travail de qualification de ces cibles qui s’ignorent a manifestement déjà été fait : à côté de chaque nom figurent le pays, le chiffre d’affaires annuel, et l’adresse du site Web de l’entreprise.

Liam se propose de s’atteler aux 10 premières cibles de la liste. Fire douche un peu ses ambitions : « une pour le moment ». Et d’expliquer qu’un second membre de l’équipe est sur le pont ce jour-là. Pas question de se retrouver à deux sur le système d’information d’une même cible : le second, Mirror, devra choisir d’autres entreprises auxquelles s’attaquer.

Mais avant de lancer l’assaut, un important travail de reconnaissance est réalisé, avec des outils bien connus des spécialistes, comme Spyse, Shodan, Spiderfoot, ou encore le Français Onyphe. Mais l’étude des cibles va plus loin que la seule étude technique de la surface d’attaque exposée sur Internet : employés, organisation interne, effectifs dédiés au SI, etc. Et il s’agit notamment d’obtenir des coordonnées permettant de contacter chacune des personnes identifiées. Probablement pour faire pression après la déclenchement du rançongiciel.

Et les membres du gang prennent leur temps. Par exemple, un rapport d’enquête préliminaire sur Raytheon est mentionné dans un échange entre Fire et Liam le 7 juillet. Mais il ne sera distribué à un autre membre de l’équipe, Bio, pour lancer une opération, que le 21 octobre 2021. Plus de trois mois plus tard.

Les échanges récemment divulgués suggèrent que le gang a ainsi cherché à s’attaquer à des entreprises telles que General Atomics, Firestone, Triumph Group, Sierra Nevada Corporation (SNC), Blue Origin, GFL Environmental, Smile Brands (victime d’une cyberattaque menée avec le rançongiciel Darkside, fin avril 2021), mais aussi Epic Games, les studios Take-Two, ou encore Timex. Mais nous n’avons pas connaissance d’attaque effectivement lancée, et encore moins réussie, à ce stade, contre ces entreprises.

Mi-février encore, les membres du groupe piloté par Fire discutaient d’opérations contre The Mills, Deluxe Entertainment Services, King5, Katz Media Group, Rhythm & Hues Studios, Pandora, Beachbody, ou encore LifeWay. C’était une semaine avant que ne soit évoquée la disparition du leader du gang, Stern. Mais pas question pour les chefs d’équipe tels que Fire, ni même pour Mango, de fermer boutique pour autant. Fire est formel : « nous allons réfléchir à comment relancer tous nos processus, où trouver de l’argent pour le paiement des salaires, et avec une vigueur renouvelée, reprendre le travail ».

En attendant, sentant un vent préoccupant souffler sur le gang et ses activités, Fire a donné des consignes claires : « nettoyez les systèmes de travail, changez de comptes sur les forums, les VPN, et si nécessaire, vos téléphones et PCs ».

Tous ces échanges mettent en lumière l’ampleur et la rigueur du travail de préparation des attaques du gang de cyberdélinquants. Ils soulignent en outre qu’il est possible, sinon courant, que des accès initiaux fonctionnels aux systèmes d’information d’entreprises soient disponibles et dans l’attente d’une exploitation effective de nombreux mois avant que ne survienne, éventuellement, une cyberattaque avec ransomware.

Et lorsqu’est conduite l’attaque, il n’est pas à exclure que d’autres cyberdélinquants disposent également d’un accès : un échange entre membres du groupe Conti fait ainsi état de la présence d’un second groupe également actif dans le système d’information de la cible, mi-septembre dernier.