Karakurt : la filiale de Conti qui extorque sans ransomware

Début décembre dernier, les équipes d’Accenture se sont penchées dans le détail sur Karakurt, un groupe identifié en juin 2021, mais dont l’existence ne s’est confirmée qu’ultérieurement, notamment à l’occasion de la montée en puissance de ses activités au troisième trimestre. Sa spécificité ? Comme les groupes Hotarus et Lapsus$, notamment, il ne pratique pas le chiffrement des données, mais se contente d’en voler chez sa victime et de menacer de les vendre ou les divulguer, si la rançon demandée n’est pas versée.

Aucun ransomware n’est donc là impliqué, mais il y a bien cyber-extorsion. L’attaque n’est en outre pas moins sérieuse qu’en cas de chiffrement de données – avec ou sans rançongiciel, d’ailleurs ; BitLocker suffit parfois– car le système d’information est probablement compromis tout autant en profondeur. Et c’est d’autant plus à craindre que Karakurt apparaît étroitement lié à franchise bien malheureusement connue du monde des ransomware : Conti. Arctic Wolf, Infinitum IT et AdvIntel viennent de l’établir.

Dans le cas d’Arctic Wolf, la découverte tient du hasard. Comme il l’explique dans un billet de blog, les équipes de sa filiale Tetra Defense « ont été approchées par client disant avoir été touché avec un ransomware en ré-extorsion ». Ce client « avait été précédemment victime du ransomware Conti et avait payé [la rançon] pour découvrir ensuite une autre tentative d’extorsion de la part d’un groupe inconnu ». Mais, surprise, aucune donnée n’a été cette fois-là chiffrée. L’enquête a permis d’établir que le second maître-chanteur « avait utilisé l’exacte même porte dérobée déposée par Conti pour accéder au réseau de la victime » : une balise Cobalt Strike. De quoi montrer que « le second intrus devait avoir accès au serveur Cobalt Strike de Conti afin d’utiliser ce mécanisme de persistance ».

Plus loin, Chainalysis, sollicité par Arctic Wolf, a pu établir que plusieurs adresses Bitcoin utilisées par Karakurt pour le paiement de ses exigences faisaient partie d’un même portefeuille géré par… Conti.

Du côté d’AdvIntel, la découverte de liens potentiels est survenue le 27 janvier 2022, avant d’être publiquement confirmée le 13 avril dernier. Dans un billet de blog, Vitali Kremetz et Yelisey Boguslavskiy indiquent que la création de Karakurt visait à répondre à l’aspiration de certains membres de la franchise à utiliser un autre modèle que celui de la double-extorsion, voire de la seule extorsion par chiffrement de données – le modèle historique de Ruyk/Conti. Et cela tout en laissant la nouvelle filiale profiter de l’infrastructure du groupe : les acteurs de la filiale Karakurt profitent eux aussi des accès initiaux obtenus avec BazarLoader et BazarBackdoor.

Du côté des équipes d’Infinitum IT, enfin, tout a commencé par l’examen des fuites ayant affecté la franchise Conti depuis la fin février : les chercheurs ont utilisé les identifiants de comptes présents dans les fuites pour compromettre l’infrastructure des cyber-délinquants, et surveiller leurs activités. Et cela jusqu’à observerdirectement un « leader du groupe Conti se connecter au serveur de commande et de contrôle de Karakurt » à distance, avec FileZilla. Plus tard, un autre membre de la franchise Conti sera observé en train d’essayer de téléverser de grandes quantités de données sur le serveur Web du site vitrine de Karakurt.