Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Virus

Présentation d’un scénario d’attaque utilisant le rançongiciel #CONTI alias #IOCP


mercredi 15 septembre 2021

Conti est un rançongiciel qui serait une version améliorée de Ryuk, lui-même une version améliorée d’Hermès en vente sur le dark web. A la différence des précédentes versions, Conti  peut entrainer la divulgation des données volées, faisant ainsi pression sur la victime pour payer la rançon. L’attaque est basée sur l’exploitation de vulnérabilités présentes sur les VPN Fortinet (CVE-2018-13374CVE-2018-13379) et sur Microsoft Windows (CVE-2020-0796). Le scénario typique d’attaque activant le rançongiciel Conti s’effectue généralement comme suit :

  • Jour 1 : Exploitation de la vulnérabilité d’un firmware du pare-feu Fortigate
  • Jour 2 : Aucune activité malveillante.
  • Jour 3 : Utilisation de Remote Desktop Protocol (RDP), PsExec et du SMB pour progresser latéralement entre les serveurs.
  • Jour 4 : Suppression des sauvegardes automatiques et manuelles Shadows Copies de Microsoft via WMI…

Lire l’intégralité de l’article sur :


Conti (alias le ransomware IOCP)

  • Conti a fait son apparition fin 2019 et a été très actif en 2020, représentant 13 % des victimes de ransomwares pendant cette période. Ses créateurs sont toujours actifs.
  • Ce qui est intéressant avec les attaques de Conti, c’est que les cybercriminels proposent leur aide aux entreprises ciblées en échange d’un paiement, en disant : « Nous vous donnerons des instructions pour réparer la faille de sécurité et éviter de tels problèmes à l’avenir ; nous vous recommanderons également des logiciels spécialisés dont les hackers ne sont pas fans ».
  • Tout comme avec Maze, le ransomware non seulement chiffre les données, mais envoie aussi aux opérateurs du ransomware des copies des fichiers qu’ils ont piratés. Les cybercriminels menacent ensuite les victimes de publier ces informations en ligne si elles ne cèdent pas à leurs demandes. Le piratage d’une école aux États-Unis a été l’une des attaques les plus médiatisées avec une demande de rançon de 40 millions de dollars. L’administration avait déclaré être prête à payer 500 000 dollars, mais qu’elle ne négocierait pas 80 fois ce montant.

https://www.kaspersky.fr/blog/top5-ransomware-groups/16824/


 

Présentation d’un scénario d’attaque utilisant le rançongiciel #CONTI alias #IOCP

Conti est un rançongiciel qui serait une version améliorée de Ryuk, lui-même une version améliorée d’Hermès en vente sur le dark web. A la différence des précédentes versions, Conti  peut entrainer la divulgation des données volées, faisant ainsi pression sur la victime pour payer la rançon. L’attaque est basée sur l’exploitation de vulnérabilités présentes sur les VPN Fortinet (CVE-2018-13374CVE-2018-13379) et sur Microsoft Windows (CVE-2020-0796). Le scénario typique d’attaque activant le rançongiciel Conti s’effectue généralement comme suit :

  • Jour 1 : Exploitation de la vulnérabilité d’un firmware du pare-feu Fortigate
  • Jour 2 : Aucune activité malveillante.
  • Jour 3 : Utilisation de Remote Desktop Protocol (RDP), PsExec et du SMB pour progresser latéralement entre les serveurs.
  • Jour 4 : Suppression des sauvegardes automatiques et manuelles Shadows Copies de Microsoft via WMI…

Lire l’intégralité de l’article sur :


Conti (alias le ransomware IOCP)

  • Conti a fait son apparition fin 2019 et a été très actif en 2020, représentant 13 % des victimes de ransomwares pendant cette période. Ses créateurs sont toujours actifs.
  • Ce qui est intéressant avec les attaques de Conti, c’est que les cybercriminels proposent leur aide aux entreprises ciblées en échange d’un paiement, en disant : « Nous vous donnerons des instructions pour réparer la faille de sécurité et éviter de tels problèmes à l’avenir ; nous vous recommanderons également des logiciels spécialisés dont les hackers ne sont pas fans ».
  • Tout comme avec Maze, le ransomware non seulement chiffre les données, mais envoie aussi aux opérateurs du ransomware des copies des fichiers qu’ils ont piratés. Les cybercriminels menacent ensuite les victimes de publier ces informations en ligne si elles ne cèdent pas à leurs demandes. Le piratage d’une école aux États-Unis a été l’une des attaques les plus médiatisées avec une demande de rançon de 40 millions de dollars. L’administration avait déclaré être prête à payer 500 000 dollars, mais qu’elle ne négocierait pas 80 fois ce montant.

https://www.kaspersky.fr/blog/top5-ransomware-groups/16824/


 

Présentation d’un scénario d’attaque utilisant le rançongiciel #CONTI alias #IOCP

Conti est un rançongiciel qui serait une version améliorée de Ryuk, lui-même une version améliorée d’Hermès en vente sur le dark web. A la différence des précédentes versions, Conti  peut entrainer la divulgation des données volées, faisant ainsi pression sur la victime pour payer la rançon. L’attaque est basée sur l’exploitation de vulnérabilités présentes sur les VPN Fortinet (CVE-2018-13374CVE-2018-13379) et sur Microsoft Windows (CVE-2020-0796). Le scénario typique d’attaque activant le rançongiciel Conti s’effectue généralement comme suit :

  • Jour 1 : Exploitation de la vulnérabilité d’un firmware du pare-feu Fortigate
  • Jour 2 : Aucune activité malveillante.
  • Jour 3 : Utilisation de Remote Desktop Protocol (RDP), PsExec et du SMB pour progresser latéralement entre les serveurs.
  • Jour 4 : Suppression des sauvegardes automatiques et manuelles Shadows Copies de Microsoft via WMI…

Lire l’intégralité de l’article sur :


Conti (alias le ransomware IOCP)

  • Conti a fait son apparition fin 2019 et a été très actif en 2020, représentant 13 % des victimes de ransomwares pendant cette période. Ses créateurs sont toujours actifs.
  • Ce qui est intéressant avec les attaques de Conti, c’est que les cybercriminels proposent leur aide aux entreprises ciblées en échange d’un paiement, en disant : « Nous vous donnerons des instructions pour réparer la faille de sécurité et éviter de tels problèmes à l’avenir ; nous vous recommanderons également des logiciels spécialisés dont les hackers ne sont pas fans ».
  • Tout comme avec Maze, le ransomware non seulement chiffre les données, mais envoie aussi aux opérateurs du ransomware des copies des fichiers qu’ils ont piratés. Les cybercriminels menacent ensuite les victimes de publier ces informations en ligne si elles ne cèdent pas à leurs demandes. Le piratage d’une école aux États-Unis a été l’une des attaques les plus médiatisées avec une demande de rançon de 40 millions de dollars. L’administration avait déclaré être prête à payer 500 000 dollars, mais qu’elle ne négocierait pas 80 fois ce montant.

https://www.kaspersky.fr/blog/top5-ransomware-groups/16824/


 

%d blogueurs aiment cette page :