Kaspersky dévoile un nouvel outil pour déchiffrer les ransomwares basés sur Conti

0
217

Kaspersky présente une nouvelle version d’un de ses outils de déchiffrement, servant à aider les victimes d’attaques ransomware basées sur le code source de Conti. Conti est un groupe de ransomware qui domine la scène du cybercrime depuis 2019. Les données relatives à Conti, dont son code-source, ont fuité en mars 2022 à la suite d’un conflit interne lié à la crise géopolitique en Europe. La modification découverte a été diffusée par un groupe de ransomware inconnu ciblant des entreprises et institutions publiques. 

Tribune – Fin février 2023, les experts de Kaspersky ont découvert une nouvelle partie de ces données ayant été divulguées sur des forums. Après analyse, ils ont découvert 258 clés privées, codes sources et déchiffreurs précompilés, ce qui a permis à Kaspersky de mettre à jour son déchiffreur destiné aux victimes de ces nouvelles versions du ransomware Conti, disponible en libre accès. 

Conti est apparu fin 2019 et a été très actif durant toute l’année 2020, causant plus de 13% de toutes les attaques ransomware pendant cette période. Néanmoins, il y a un an, après la fuite du code source, de nombreuses altérations de Conti ont été générées, et exploitées par divers groupes criminels pour mener de nouvelles attaques. 

Le variant du malware dont les clés ont fuité a été découvert par les experts Kaspersky en décembre 2022. Cette souche a été utilisée dans de nombreuses attaques contre des entreprises et institutions publiques. 

Les clés privées ayant fuité sont localisées dans 257 dossiers (seul un de ces dossiers contient 2 clés). Certains contiennent des déchiffreurs déjà générés et plusieurs fichiers ordinaires : documents, photos, etc. Nous pouvons supposer que ces derniers sont des fichiers test – quelques fichiers que la victime envoie aux attaquants pour s’assurer que ces fichiers puissent être déchiffrés. 

Trente-quatre de ces dossiers nomment explicitement des entreprises et des agences gouvernementales. En supposant qu’un dossier équivaut à une victime, et que les déchiffreurs ont été générés pour les victimes ayant payé la rançon, nous pouvons alors estimer que 14 victimes sur les 257 ont payé la rançon aux attaquants. 

Après avoir analysé les données, les experts ont donc publié une nouvelle version de l’outil de déchiffrement public pour aider toutes les victimes de cette modification du ransomware Conti. Le code de déchiffrement et toutes les 258 clés ont été ajoutés dans la dernière version de l’utilitaire Kaspersky RakhniDecryptor 1.40.0.00. De plus, l’outil de déchiffrement a été ajouté au site « No Ransom » de Kaspersky.

« Depuis plusieurs années consécutives, le ransomware demeure un outil majeur utilisé par les cybercriminels. Néanmoins, puisque nous avons étudié les TTPs de nombreux groupes de ransomware et découvert que beaucoup d’entre eux opéraient de manière similaire, éviter les attaques est devenu un peu plus facile. Les outils de déchiffrement des nouvelles modifications de Conti sont d’ores et déjà disponibles sur notre page web « No Ransom ». Nous souhaiterions néanmoins rappeler que la meilleure des stratégies est de renforcer ses défenses et d’arrêter les attaquants aux premières étapes de leurs tentatives d’intrusion, afin d’éviter le déploiement du ransomware et ainsi minimiser les conséquences de l’attaque » explique Fedor Sinitsyn, chef d’équipe d’analystes de malwares chez Kaspersky. 

Pour vous protéger, vous et votre entreprise contre les attaques par ransomware, envisagez de suivre les règles proposées par Kaspersky 

  • N’exposez pas les services d’accès au poste de travail à distance (comme le RDP) aux réseaux publics à moins que cela ne soit absolument nécessaire et utilisez toujours des mots de passe robustes pour y accéder. 

  • Installez rapidement les correctifs disponibles pour les solutions VPN commerciales fournissant un accès aux employés distants et agissant comme des passerelles dans votre réseau.

  • Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l’exfiltration de données vers l’internet. Accordez une attention particulière au trafic sortant afin de détecter les connexions des cybercriminels.

  • Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d’urgence.

  • Utilisez des solutions qui permettent d’identifier et d’arrêter l’attaque à un stade précoce, avant que les attaquants n’atteignent leurs objectifs finaux.