L’Australian Cyber Security Center (ACSC) affirme que les attaques de ransomware Conti ont ciblé plusieurs organisations australiennes de divers secteurs industriels depuis novembre.
« L’ACSC est au courant de plusieurs instances d’organisations australiennes qui ont été affectées par le ransomware Conti en novembre et décembre 2021.
Cette activité s’est déroulée dans plusieurs secteurs. Les victimes ont reçu des demandes de rançon », a averti l’agence australienne de cybersécurité dans un avis de sécurité publié aujourd’hui.
« En plus du cryptage des données et de l’impact ultérieur sur la capacité des organisations à fonctionner comme d’habitude, les victimes se sont fait voler des données lors d’incidents publiés par les acteurs du ransomware, y compris les informations personnellement identifiables (PII). »
L’avertissement fait suite à une attaque de ransomware en novembre contre le réseau TIC d’entreprise du fournisseur d’électricité australien CS Energy lié par erreur par les médias locaux à un groupe de piratage soutenu par la Chine.
Cependant, comme le PDG de CS Energy, Andrew Bills révélé, la société n’a « pas trouvé d’indication que le cyberincident était une attaque basée sur l’État ».
Le gang de ransomware Conti a revendiqué l’attaque le 27 novembre, lorsque le fournisseur d’énergie australien a découvert l’intrusion. Conti n’a pas encore divulgué de fichiers volés à CS Energy.
L’ACSC a également publié un profil de ransomware avec des informations supplémentaires sur le gang Conti, y compris les indicateurs d’accès initiaux, les secteurs ciblés et les mesures d’atténuation.
« Les acteurs impliqués dans le déploiement du ransomware Conti modifient fréquemment les schémas d’attaque et tirent rapidement parti des vulnérabilités récemment divulguées pour compromettre et opérer au sein des réseaux avant que les propriétaires de réseaux ne puissent appliquer des correctifs ou des mesures d’atténuation », a déclaré l’agence. ajoutée.
« Des affiliés de Conti ont été observés ciblant des entités dans des secteurs critiques, notamment des organisations de soins de santé. En 2021, Conti a affirmé avoir compromis au moins 500 organisations dans le monde sur leur site TOR.
L’ACSC fournit atténuations axées sur les TTP Conti (Tactiques, techniques et procédures), y compris :
- activer l’authentification multifacteur (MFA) pour bloquer l’utilisation d’informations d’identification volées
- chiffrement des données sensibles au repos pour bloquer l’exfiltration d’informations sensibles
- segmenter les réseaux d’entreprise et restreindre les privilèges d’administrateur pour bloquer les tentatives d’escalade des privilèges et les mouvements latéraux
- maintenir des sauvegardes quotidiennes pour réduire l’impact des attaques
L’agence avait précédemment mis en garde contre une augmentation des attaques de ransomware LockBit 2.0 ciblant les organisations australiennes à partir de juillet 2021.