Gunra, Datacarry : deux nouveaux venus utilisent le ransomware de feu Conti

C’est le 23 avril que la vitrine de l’enseigne de cyber-extorsion Gunra a commencé à être scrutée de près par la majorité des observateurs. Celle de Datacarry allait l’être un mois plus tard.

La première affiche 11 victimes à l’heure où sont publiées ces lignes, contre 9 pour la seconde. De nombreuses indications suggèrent toutefois que les premières activités de Datacarry remontent au moins à la fin juin 2024. Sa dernière victime confirmée en date est la Maison Liégeoise, qui s’est dite victime d’une cyberattaque le 18 mai dernier.

Gunra et Datacarry ont un point commun suffisamment peu observé pour mériter d’être relevé : les deux anciennes s’appuient sur un ransomware développé à partir du code source de celui de feu Conti.

Car si les indépendants utilisant le builder de LockBit 3.0 ayant été divulgué en septembre 2022 sont nombreux, ceux qui ont pris la peine d’étudier le code source de Conti, de l’adapter et de le personnaliser, le sont bien moins. L’effort n’est pas exactement comparable.

Pour Gunra, c’est Cyfirma qui a, le premier, levé le lièvre, au début du mois de mai. Pour Datacarry, c’est Kévin W, administrateur système et développeur, qui vient de partager, avec LeMagIT, ses analyses.

Dans le cas qu’il a étudié, l’attaquant a utilisé un script PowerShell pour activer le service RDP sur la machine compromise et l’utilise comme porte dérobée. Le rançongiciel n’applique pas la même extension aux données chiffrées que celui employé par Gunra : .EXTEN au lieu de .ENCRT. Mais la note de rançon est nommée de la même manière : R3ADM3.txt.

Selon Cyfirma, Gunra a déjà déployé une interface Web de négociation accessible via Tor. Ce n’est pas le cas de Datacarry qui, pour le moment, apparaît négocier par mail.