Conti Ransomware cherche à effacer les sauvegardes des victimes
La société de sécurité Advanced Intelligence a publié un rapport récent axé sur les derniers développements entourant le gang de ransomware Conti. Les chercheurs ont souligné la nouvelle concentration du gang sur la destruction des sauvegardes comme moyen d'exercer une pression supplémentaire sur la victime et de la motiver à payer la rançon.
Conti est l'un des gangs de ransomware les plus infâmes, connu pour être totalement sans scrupules lorsqu'il s'agit de choisir ses victimes. Alors que certains groupes comme DarkSide essaieraient au moins de jouer à Robin des Bois et tenteraient de justifier leurs actions criminelles en se vantant du fait qu'ils n'attaquent jamais les établissements d'enseignement et de santé, Conti, en revanche, a mené des attaques contre un certain nombre d'hôpitaux et d'autres entités de santé. . Ce type d'attaque ne concerne jamais uniquement les dommages pécuniaires, car il existe toujours une menace de perte de vies humaines.
Selon les chercheurs, Conti recherche désormais spécifiquement des affiliés particulièrement doués pour effacer les sauvegardes des victimes. Le gang criminel cible spécifiquement une application de création et de gestion de sauvegardes, produite par la société de logiciels Veeam.
Conti utilise un certain nombre d'outils pour infiltrer les réseaux qui sont devenus courants dans le paysage des ransomwares. Les attaques impliquent des balises Cobalt Strike, ainsi que d'autres outils légitimes utilisés pour prendre pied sur le réseau compromis et atteindre la persistance.
L'essentiel est qu'une fois que les opérateurs Conti ont mis la main sur un compte utilisateur de sauvegarde privilégié, ils peuvent faire tout ce qu'ils veulent avec les sauvegardes. Le rapport publié par Advanced Intelligence a suscité une déclaration officielle de Veeam - la société dont les outils de sauvegarde que Conti cherche à contourner.
Veeam a déclaré que si les opérateurs de ransomware parviennent à mettre la main sur un compte d'administrateur de domaine privilégié, rien au monde ne peut les empêcher d'effacer les sauvegardes de la victime. Aucune quantité de correctifs ou de nouvelles fonctionnalités ne peut arrêter cela. À la place, Veeam recommande donc à tous ses clients d'exécuter l'application de sauvegarde à partir d'un domaine distinct, afin que la compromission du domaine principal ne signifie pas non plus une condamnation certaine pour les sauvegardes.
Conti était le gang de ransomware à l'origine des attaques contre le réseau de services de santé irlandais qui ont causé des millions de dommages et presque paralysé les systèmes numériques de santé du pays pendant des jours.