Par Bhabesh Raj, Associate Security Analytics Engineer
Largement considéré comme le successeur du célèbre ransomware Ryuk de Wizard Spider, le ransomware Conti a été observé pour la première fois en mai 2020. Conti est distribué via le modèle RaaS, le rendant ainsi plus accessible et donc plus puissant que Ryuk. Au premier trimestre 2021, Coveware a rapporté que Conti avait revendiqué occuper la deuxième place en termes de part de marché sur la scène des ransomwares.
Le ransomware Conti est connu pour ré-attaquer des victimes antérieures, dont la plupart résident en Amérique du Nord et en Europe occidentale. Grâce à une approche de type « big-game hunting », les rançons sont à priori adaptées à la victime, avec des montants pouvant atteindre 25 millions de dollars. Selon Sentinel One Watchtower, en juillet 2021, le ransomware Conti se classait au premier rang, en termes de volume de données divulguées, parmi tous les autres groupes de ransomware déployés par des humains.
Grim Spider, faisant partie de l’acteur malveillant russe Wizard Spider, exploite Ryuk depuis 2018. Conti est considéré comme une évolution naturelle de Ryuk après avoir intégré à l’exploitation de Conti le modèle RaaS éprouvé ainsi que l’approche « big-game hunting ».
Le 14 mai 2021, le NCSC a alerté que le ransomware Conti avait désactivé de manière très sérieuse le système Health Service Executive (HSE), affectant ainsi plusieurs services et nécessitant l’arrêt de la majorité des systèmes au sein du réseau. Le NCSC pense que les attaques ont fait partie de la même campagne qui a ciblé le secteur de la santé irlandaise. De même, le 20 mai 2021, le FBI a publié sa propre alerte qui a identifié au moins 16 attaques du ransomware Conti ciblant les réseaux américains de santé et de premiers intervenants, notamment les forces de l’ordre et les services médicaux d’urgence, au cours de la dernière année. Le FBI a également déclaré que les 290 réseaux de santé et de premiers intervenants basés aux États-Unis faisaient partie des plus de 400 organisations dans le monde qui avaient été victimes de Conti. Plus récemment, DarkTracer a observé le ciblage continu par Everest et Conti d’entreprises françaises.
Le 3 septembre 2021, Sophos a présenté une enquête révélant que des affiliés du ransomware Conti utilisaient l’exploit ProxyShell au niveau de serveurs Exchange afin de déployer des Web shell. Ils y sont parvenus en quelques minutes et ont exfiltré environ 1 To de données dans les 48 heures ayant suivi le premier accès. Ce type d’attaque illustre bien la manière avec laquelle ces affiliés tirent parti de l’incapacité des administrateurs à corriger en temps voulu les vulnérabilités critiques au niveau d’applications essentielles comme Exchange, afin de réduire leur exposition aux ransomwares.
Actuellement, les acteurs déployant les ransomwares utilisent généralement des logiciels légitimes dans leur kill chain pour accélérer le processus de mise en œuvre de ces derniers. Un développement plus récent a été mentionné dans le rapport AdvIntel divulguant ainsi l’utilisation par Conti de l’agent Atera ‘Remote Monitoring and Management’ (RMM) comme une backdoor, afin de survivre à d’éventuelles détections de Cobalt Strike par des solutions EDR.
Comme d’autres types de ransomware, on a pu observer que Conti était généralement déployé par IceID, TrickBot, Buer, BazarBackdoor, etc. Le 1er août 2021, le rapport DFIR a décrit comment un acteur malveillant avait installé TrickBot via BazarCall, lequel a ensuite déployé Cobalt Strike qui a finalement déployé le ransomware Conti.
Conti partage plusieurs TTP avec d’autres types de ransomware comme Egregor, à savoir l’utilisation du RDP, de RClone, Cobalt Strike, ADFind, PsExec, etc. Le type précis de ransomware affectant le réseau d’une entreprise ne peut être identifié que par une réponse approfondie aux incidents après la détection de l’intrusion initiale.
Les clients LogPoint peuvent utiliser notre package Ransomware Analytics qui contient des analyses pour différents types de ransomware.
Le ransomware Conti : les faits marquants
- Conti est supposé être le successeur de Ryuk.
- Le Ransomware Report Q1 2021 de Coveware indique que Conti occupe la deuxième place en termes de part de marché.
- Conti est généralement considéré comme étant déployé par IceID, TrickBot, Buer et BazarBackdoor.
Détection du ransomware Conti grâce à LogPoint
Les administrateurs peuvent détecter les tentatives d’exploitation de ProxyShell en consultant les logs du serveur Web au niveau du serveur Exchange.
((url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"])
OR url IN ["*autodiscover.json?@*", "*autodiscover.json%3f@*", "*%
[email protected]*", "*Email=autodiscover/autodiscover.json*", "*[email protected]*"])
Les administrateurs peuvent filtrer les tentatives infructueuses en ajoutant les filtres de code d’état (status code).
(url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"]
status_code IN [200, 301])
Les acteurs utilisant Conti déploient plusieurs Web shell après avoir exploité les vulnérabilités d’Exchange, que nous pouvons détecter à l’aide des événements de création de fichiers de Sysmon.
norm_id=WindowsSysmon event_id=11
file="*.aspx" path IN ["C:\inetpub\wwwroot\aspnet_client*", "*\FrontEnd\HttpProxy\owa\auth*"]
Comme IceID reste le vecteur d’infection le plus couramment utilisé par Conti, nous devons surveiller l’apparition de processus suspects au niveau des produits Office qui pourraient signaler des exécutions de macros malveillantes.
Norm_id=WinServer label=”Process” label=Create
parent_process IN [“*\winword.exe”, “*\excel.exe”, “*\powerpnt.exe”]
“process” IN [“*\cmd.exe”, “*\powershell.exe”, “*\wscript.exe”, “*\jscript.exe”, “*\wmiprvse.exe”]
IceID est également connu pour être directement exécuté par Regsvr32 (T1218.010) à partir de chemins suspects comme par exemple le répertoire Temp.
Norm_id=WinServer label=”Process” label=Create
“process”=”*\regsvr32.exe”
command IN [“*\AppData\Local\Temp\*”, “*\AppData\Roaming\Temp\*”]
Le ransomware Conti utilise des commandes classiques telles que whoami, ipconfig, etc. pour la reconnaissance, qui peuvent être facilement récupérées à partir des événements de création de processus.
norm_id=WinServer label="Process" label=Create
"process" IN ["*\whoami.exe", "*\nltest.exe", "*\net1.exe", "*\ipconfig.exe", "*\systeminfo.exe"]
| chart count() as cnt, distinct_list(image) as images by host, user
| search cnt > 3
L’utilisation de WMI pour exécuter des processus à distance (T1047) est en train de devenir une marque de fabrique des opérateurs de ransomware. La détection de cette activité très importante est cruciale pour identifier toute souche générique de ransomware.
norm_id=WinServer label="Process" label=Create command="*wmic* /node:* process call create *"
Pour collecter les identifiants du domaine, Conti a utilisé l’utilitaire légitime ntdsutil (T1003.003) afin de créer une copie de la base de données du domaine Active Directory.
norm_id=WinServer label="Process" label=Create
command="*ntdsutil*ac * ntds*ifm*"
Etant donné que Cobalt Strike est maintenant utilisé par de nombreuses variantes de ransomware, notamment Conti, n’hésitez pas à vous rendre sur notre blog pour consulter l’article intitulé « Comment détecter les activités furtives de Cobalt Strike au sein de votre entreprise ? ».
Concernant la persistance, le ransomware Conti crée un nouvel utilisateur (T1136.001) et ajoute cet utilisateur au groupe d’administrateurs locaux, ce qui est très simple à détecter à partir des événements de création de processus.
norm_id=WinServer label="Process" label=Create
command IN ["*net* user /add *", "*net* localgroup administrators */add*"]
Conti est connu pour désactiver Microsoft Defender (T1562.001) avant de déployer Cobalt Strike, ce qui est facile à détecter en utilisant les logs du canal d’événements de Defender.
norm_id=WinServer event_source="Microsoft-Windows-Windows Defender" event_id=5001
Concernant les mouvements latéraux, Conti supprime d’abord la charge virale DLL sur les partages ADMIN$ (T1021.002) des systèmes endpoint, puis exécute à distance cette charge virale à l’aide de PsExec (T1570).
norm_id=WinServer label="Process" label=Create
command="*cmd* /c copy *.DLL *\ADMIN$"
norm_id=WinServer label="Process" label=Create
command="* -accepteula *" command="*rundll32*.DLL,*"
Conti active également les connexions RDP (T1021.001) dans les systèmes endpoint à l’aide de netsh ou via des manipulations directes du registre (T1112), que nous pouvons rechercher à partir des événements de création de processus.
norm_id=WinServer label="Process" label=Create
command IN ["*netsh *firewall *remote desktop* enable*", "*reg add *\Terminal Server* fDenyTSConnections*0x0*"]
Tout comme Egregor et FiveHands, Conti utilise RClone, un outil open source de gestion du stockage Cloud pour exfiltrer les données vers le stockage Cloud de l’attaquant (T1567.002), ce qui est très simple à détecter à partir des événements de création de processus de Sysmon.
norm_id=WindowsSysmon label="Process" label=Create
description="Rsync for cloud storage"
Les administrateurs doivent également rechercher les installations malveillantes d’agents Atera, comme le montrent les récents incidents causés par Conti.
norm_id=WinServer label=Install label=Application
application=AteraAgent
Les sources de log
Les utilisateurs de LogPoint ont besoin des sources de log suivantes pour exécuter les requêtes susmentionnées :
- Création de processus Windows
- Installation du logiciel Windows
- Microsoft Defender
- Création de processus Sysmon
- Création de fichier Sysmon
- Pare-feu/serveur proxy
Configurer la détection en profondeur est vitale pour détecter les ransomwares
Comme son prédécesseur, Conti reste l’un des types de ransomware les plus actifs, avec un nombre impressionnant de victimes. Comme d’autres ransomwares déployés par l’homme, il utilise des outils commerciaux courants et accessibles au public, afin de lui permettre d’atteindre ses objectifs. Dans le paysage des menaces actuel, avec des adversaires utilisant de manière systématique l’évasion partout où ils se sentent capables d’échapper aux détections fragiles mises en place par les Blue Team, l’approche consistant à ne compter que sur un petit nombre de détections est plutôt naïve.
Il est donc nécessaire de mettre en place une véritable approche de défense en profondeur. Celle-ci est essentielle pour détecter les menaces en évolution constante telles que les ransomwares qui utilisent de surcroît des outils courants « légèrement modifiés » pour atteindre leurs objectifs.
