Kaspersky dévoile un nouvel outil pour déchiffrer les ransomwares basés sur Conti
mars 2023 par Marc Jacob
Kaspersky présente une nouvelle version d’un de ses outils de déchiffrement, servant à aider les victimes d’attaques ransomware basées sur le code source de Conti. Conti est un groupe de ransomware qui domine la scène du cybercrime depuis 2019. Les données relatives à Conti, dont son code-source, ont fuité en mars 2022 à la suite d’un conflit interne lié à la crise géopolitique en Europe. La modification découverte a été diffusée par un groupe de ransomware inconnu ciblant des entreprises et institutions publiques.
Fin février 2023, les experts de Kaspersky ont découvert une nouvelle partie de ces données ayant été divulguées sur des forums. Après analyse, ils ont découvert 258 clés privées, codes sources et déchiffreurs précompilés, ce qui a permis à Kaspersky de mettre à jour son déchiffreur destiné aux victimes de ces nouvelles versions du ransomware Conti, disponible en libre accès.
Conti est apparu fin 2019 et a été très actif durant toute l’année 2020, causant plus de 13% de toutes les attaques ransomware pendant cette période. Néanmoins, il y a un an, après la fuite du code source, de nombreuses altérations de Conti ont été générées, et exploitées par divers groupes criminels pour mener de nouvelles attaques.
Le variant du malware dont les clés ont fuité a été découvert par les experts Kaspersky en décembre 2022. Cette souche a été utilisée dans de nombreuses attaques contre des entreprises et institutions publiques.
Les clés privées ayant fuité sont localisées dans 257 dossiers (seul un de ces dossiers contient 2 clés). Certains contiennent des déchiffreurs déjà générés et plusieurs fichiers ordinaires : documents, photos, etc. Nous pouvons supposer que ces derniers sont des fichiers test – quelques fichiers que la victime envoie aux attaquants pour s’assurer que ces fichiers puissent être déchiffrés.
Trente-quatre de ces dossiers nomment explicitement des entreprises et des agences gouvernementales. En supposant qu’un dossier équivaut à une victime, et que les déchiffreurs ont été générés pour les victimes ayant payé la rançon, nous pouvons alors estimer que 14 victimes sur les 257 ont payé la rançon aux attaquants.
Après avoir analysé les données, les experts ont donc publié une nouvelle version de l’outil de déchiffrement public pour aider toutes les victimes de cette modification du ransomware Conti. Le code de déchiffrement et toutes les 258 clés ont été ajoutés dans la dernière version de l’utilitaire Kaspersky RakhniDecryptor 1.40.0.00. De plus, l’outil de déchiffrement a été ajouté au site « No Ransom » de Kaspersky.
Pour vous protéger, vous et votre entreprise contre les attaques par ransomware, envisagez de suivre les règles proposées par Kaspersky
• N’exposez pas les services d’accès au poste de travail à distance (comme le RDP) aux réseaux publics à moins que cela ne soit absolument nécessaire et utilisez toujours des mots de passe robustes pour y accéder.
• Installez rapidement les correctifs disponibles pour les solutions VPN commerciales fournissant un accès aux employés distants et agissant comme des passerelles dans votre réseau.
• Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l’exfiltration de données vers l’internet. Accordez une attention particulière au trafic sortant afin de détecter les connexions des cybercriminels.
• Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d’urgence.
• Utilisez des solutions telles que Kaspersky Endpoint Detection and Response Expert et le service Kaspersky Managed Detection and Response qui permettent d’identifier et d’arrêter l’attaque à un stade précoce, avant que les attaquants n’atteignent leurs objectifs finaux.
Utilisez les dernières informations de Threat Intelligence pour rester au courant des TTP utilisées par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d’accès unique à la TI de Kaspersky, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis 25 ans. Pour aider les entreprises à mettre en place des défenses efficaces en ces temps troublés, Kaspersky a annoncé l’accès gratuit à des informations indépendantes, continuellement mises à jour et provenant du monde entier sur les cyberattaques et les menaces en cours.