Après avoir piraté les serveurs gérés par les cybercriminels, les chercheurs en sécurité ont trouvé un lien entre le rançongiciel Conti et le groupe d’extorsion de données Karakurt récemment apparu, montrant que les deux gangs font partie de la même opération.
Le syndicat du rançongiciel Conti est aujourd’hui l’un des groupes cybercriminels les plus prolifiques qui opère sans relâche malgré la fuite massive de conversations internes et de code source qu’un groupe de piratage a déjà utilisé pour paralyser les organisations russes.
Karakurt est un gang actif depuis au moins juin 2021 qui se concentre sur le vol de données aux entreprises et les force à payer une rançon en menaçant de publier les informations.
Plus de 40 organisations ont été victimes de Karakurt en deux mois environ, entre septembre et novembre 2021.
Infrastructure cybercriminelle mise à mal
La connexion entre les deux groupes a été possible après que les chercheurs en sécurité ont eu accès à un serveur Conti VPS interne avec les informations d’identification d’un utilisateur qu’ils pensent être le leader de l’ensemble du syndicat.
La connexion au serveur a été possible après que les chercheurs ont piraté le compte ProtonMail de l’acteur menaçant et trouvé les informations d’identification d’accès nécessaires.
Lorsque les chercheurs ont accédé au serveur VPS, il a stocké plus de 20 To de données que Conti a volées à leurs victimes avant de déployer l’étape de cryptage de l’attaque.
Les chercheurs en sécurité de la société de conseil en sécurité Infinitum IT, basée en Turquie, affirment que le serveur VPS est hébergé par Solutions d’enferun fournisseur en Russie qui prend en charge les méthodes de paiement anonymes et accepte les commandes via des connexions VPN et TOR.
Dans le même temps, Inferno Solutions affirme qu’ils « ne tolèrent pas les spammeurs, les escrocs ou les cybercriminels », qu’ils se rangent toujours du côté du client et qu’ils « ne dérangent pas les clients en cas de plaintes douteuses et illégales (abus) ».
Dans un rapport récent, Infinitum IT précise qu’ils ont pu accéder à l’infrastructure de Conti lorsque les fuites de Conti ont commencé, le 27 février, après s’être connectés à plusieurs comptes de stockage ProtonMail et Mega utilisés par un membre de Conti.
« Au début de la fuite de Conti le 27 février 2022, nous sommes en mesure d’accéder à plusieurs comptes Protonmail et Mega Upload utilisés par l’un des membres clés du groupe Conti Ransomware » – Infinitum IT
Une fois à l’intérieur des comptes de messagerie, les chercheurs ont observé les e-mails entrants du fournisseur d’hébergement Inferno Solutions, ce qui leur a permis d’accéder à distance au panneau d’administration du serveur VPS.
L’analyse des informations sur le serveur de stockage a révélé que Conti disposait de données avec un horodatage plus ancien appartenant à des victimes qui n’ont pas été divulguées publiquement. Infinitum IT a contacté les victimes pour restituer les données volées.
Les chercheurs ont remarqué que le membre Conti dont ils avaient piraté les comptes utilisait le client FTP FileZilla pour se connecter à plusieurs serveurs afin de télécharger et de télécharger des données volées.
Une connexion était à l’adresse IP 209[.]222[.]98[.]19, où le groupe d’extorsion Karakurt a hébergé son site où il a publié des données volées de victimes non payantes.
EZpublish-france.fr a appris il y a des mois par d’autres chercheurs en sécurité que Karakurt est une activité parallèle du syndicat Conti pour monétiser les attaques de chiffrement qui ont échoué.
Lorsque la charge utile du ransomware de Conti est bloquée et que l’attaque n’entre pas dans la phase de cryptage, les pirates libèrent les informations déjà exfiltrées sous le nom de Karakurt pour l’extorsion de données.
Bien que l’administrateur Conti n’ait pas enregistré les mots de passe dans le client FTP, les chercheurs d’Infinitum IT affirment qu’ils ont pu obtenir les informations d’identification SSH pour le serveur de commande et de contrôle Karakurt (C2) en exploitant une vulnérabilité non corrigée dans FileZilla.
Les chercheurs ont également obtenu de cette façon une clé privée SSH qui a permis de se connecter au serveur Web du gang Karakurt pour leur site de fuite, qui est également servi sur le réseau TOR.
Selon l’analyse d’Infinitum IT, les membres du gang Karakurt téléchargent des données volées dans un dossier « /work » et les classent comme publiques et non publiques, leur intérêt étant principalement les informations financières.
Comme Infinitum IT a complètement compromis l’infrastructure du gang Karakurt, ils ont également pu accéder au serveur C2 et aux outils utilisés dans les attaques.
Vous trouverez ci-dessous une énumération des utilitaires que Karakurt utilise dans les attaques et leur description :
- Ligolo-ng: outil de tunnelage et de pivotement
- Metasploit: utilisé comme serveur C2 dans la phase de post-exploitation pour obtenir un reverse shell et pour forcer brutalement les partages SMB et les connexions RDP
- Impaquet: utilisé pour les attaques de relais NTLM pour le mouvement latéral après avoir obtenu l’accès initial
- Danté: script d’auto-installation et de gestion pour Danted–Socks5 Proxy Server, pour le reverse tunneling
Le rapport d’Infinitum IT est la première preuve publique montrant que le rançongiciel Conti et le gang d’extorsion de données Karakurt font partie du même groupe à motivation financière.
Après que Conti a repris le tristement célèbre botnet TrickBot et l’a fermé pour se concentrer sur le développement des logiciels malveillants BazarBackdoor et Anchor, les chercheurs montrent que l’expansion du syndicat est plus agressive.
Conti gère désormais des activités parallèles qui maintiennent ses opérations de ransomware ou monétisent l’accès initial au réseau déjà disponible.