Conti est un ransomware dit de « double extorsion » opéré par des attaquants qui dérobent les données de leurs cibles avant de les chiffrer, puis menacent de les exposer sur le site « Conti News » si l’entreprise ne paie pas la rançon exigée.
Sophos Rapid Response, l’équipe d’intervention en cas d’incidents de Sophos qui œuvre 24h/24 et 7j/7, a été appelée récemment afin de contenir, neutraliser et enquêter sur un incident de ce type qui s’est déroulé sur une période de cinq jours entre la compromission initiale du système et la reprise de l’activité. Sophos en a tiré une série d’articles qui retrace l’attaque jour par jour, fournit des informations techniques sur le comportement de l’attaque Conti, et propose des recommandations.
La série en trois volets, intitulée « The Realities of Conti Ransomware », comprend :
A Conti Ransomware Attack Day-By-Day : Une analyse d’une attaque Conti qui comprend des Indicateurs de compromission (IoC) et des tactiques, techniques et procédures (TTP).
Conti Ransomware : Evasive By Nature : Une présentation technique par les chercheurs de SophosLabs.
What to Expect When You’ve Been Hit with Conti Ransomware – Un guide indispensable pour les administrateurs IT qui font face à l’impact d’une attaque Conti, accompagné de conseils sur les mesures immédiates à prendre et une liste de 12 points afin de permettre d’enquêter sur l’attaque. La liste détaille aux administrateurs tout ce dont sont capables les attaquants Conti lorsqu’ils ont pénétré sur le réseau et les principales TTP qu’ils sont susceptibles d’appliquer. Cet article inclut une liste d’actions recommandées.
« Au cours des attaques les adversaires sont capables de s’adapter et de réagir à des situations changeantes en temps réel, » déclare Peter Mackenzie, manager pour Sophos Rapid Response. « Dans ce cas précis, les attaquants ont accédé simultanément à deux serveurs. Ainsi, lorsque l’entreprise ciblée a détecté et mis hors service l’un des deux croyant avoir arrêté l’attaque à temps les attaquants sont passés sur le second serveur et ont poursuivi leur attaque. Le propre des incursions menées par des êtres humains est qu’il existe un « plan B » et cela nous force à ne pas oublier que ce n’est pas parce qu’une partie de l’activité suspecte sur un réseau s’est arrêtée que cela signifie que l’attaque est terminée. »
À ce jour, le site « Conti News » a publié des données dérobées à plus de 180 victimes. Sophos a mis au point un profil des victimes en se fondant sur les données publiées sur Conti News (couvrant environ 150 entreprises dont les données avaient été publiées au moment de l’analyse).
« Dans les entreprises qui ne disposent pas d’une équipe spécifique en charge de la sécurité IT, ce sont souvent les administrateurs informatiques qui se retrouvent sous le feu d’une attaque par ransomware, » ajoute M. Mackenzie. « Ce sont eux qui arrivent au travail un matin pour s’apercevoir que rien n’est accessible et qui trouvent une demande de rançon menaçante sur leur écran, parfois suivie d’e-mails de menaces, voire d’appels téléphoniques. En nous fondant sur nos expériences directes en matière de chasse aux menaces, nous avons développé une liste d’actions recommandées qui aideront les administrateurs IT, durant les premières heures et les premiers jours aussi éprouvants que stressants qui suivent une attaque du ransomware Conti, à trouver de l’aide et à jeter les bases d’un système mieux sécurisé à l’avenir. »
Couper les protocoles de bureau à distance (RDP) utilisant Internet pour empêcher les cybercriminels d’accéder aux réseaux
Si l’accès à un RDP est requis, recourir à une connexion VPN
Utiliser une sécurité en couches pour empêcher, contrer et détecter les cyberattaques, y compris des capacités de détection et d’intervention au niveau des points d’entrée (EDR) et des équipes d’intervention managées qui surveillent les réseaux 24h/24 et 7j/7
Prendre connaissance des cinq signes avant-coureurs qui indiquent la présence d’un attaquant pour stopper les attaques par ransomware
Préparer un plan de réponse aux incidents efficace et le mettre à jour en fonction des besoins. S’adresser à des experts extérieurs pour demander de l’aide, assurer un suivi des menaces ou pour intervenir en urgence en cas d’incident si nécessaire.