Un gang de ransomware a extorqué 725 BTC en une ONE attaque, selon les détectives de la chaîne

À emporter

• En combinant les journaux de discussion divulgués en février avec l'analyse ultérieure des données de la blockchain, les chercheurs ont glané de nouvelles informations sur le tristement célèbre gang de ransomware Conti.
• Le gang a utilisé des courtiers de gré à gré (OTC) en Russie pour encaisser les Crypto extorquées aux victimes et pour payer les membres pour leur travail, selon une analyse de CoinDesk des discussions divulguées.
• Au moins un hôpital américain attaqué par le ransomware Conti pendant la pandémie de coronavirus a payé la rançon, montrent les communications internes des pirates.
• Les rançons versées au gang pourraient avoir atteint 725 BTC et plus, selon une analyse de Crystal Blockchain publiée mardi.
• Les nouveaux portefeuilles utilisés par Conti ont été localisés, a déclaré Crystal.

En février, un pirate informatique a divulgué les journaux de discussion d'un célèbre gang de rançongiciels, offrant un aperçu RARE du fonctionnement quotidien de cette activité criminelle et du rôle crucial des cryptomonnaies. Mais les données blockchain permettent de dresser un tableau plus complet.

Les messages divulgués ont révélé que les pirates de Conti avaient fait plus de victimes que prévu. Ils ont également révélé que certaines de ces organisations avaient payé pour récupérer leurs systèmes informatiques et que le gang était lié à un autre réseau cybercriminel notoire, connu sous le nom de Ryuk. Plus important encore, la cache a révélé les adresses des portefeuilles Bitcoin (BTC) de Conti, jusqu'alors inconnues.

Cela a servi de point de départ aux enquêteurs de la blockchain pour compléter le puzzle. Par exemple, les données blockchain montrent qu'au moins un des hôpitaux américains attaqués pendant la pandémie aurait versé une rançon aux pirates de Conti.

CoinDesk a examiné les messages divulgués des membres de Conti et analysé les portefeuilles et transactions Crypto des pirates avec l'aide de la société d'analyse on-chain Crystal Blockchain. Cet exercice a mis en évidence un paradoxe persistant des Crypto: si un réseau non sécurisé avec des transactions impossibles à bloquer est très utile aux criminels, le registre public laisse une traînée de miettes que les forces de l'ordre et les chercheurs pourront ensuite retrouver.

Les pirates informatiques se font pirater

Les gangs de rançongiciels sont une menace née de l'ère cybernétique. Si les ravages qu'ils sèment dans les entreprises sont parfois visibles et tangibles (rappelons-nous la pénurie de GAS provoquée par la Attaque du pipeline coloniall’année dernière ?), leurs identités et leur mode de fonctionnement restent en grande partie cachés.

Aujourd’hui, le rideau s’est légèrement levé, conséquence indirecte de la guerre en Ukraine.

Le 25 février, le groupe Contia déclaré son allégeanceau gouvernement russe suite à l'invasion de l'Ukraine. Sur son site officiel, Conti a menacé de riposter contre l'Occident en cas d'éventuelles cyberattaques contre la Russie. Ce cyberharcèlement semble avoir provoqué les fuites, apparues à plusieurs endroits.

UN chercheur ukrainien en sécuritéSelon CNN, des individus ayant obtenu l'accès à l'infrastructure informatique du groupe ont divulgué les messages accumulés sur le serveur interne Jabber/XMPP du gang entre 2020 et 2021 à des journalistes et des chercheurs en sécurité.suggéréLa fuite a été faite par un Ukrainien mécontent, membre du gang Conti. Les messages archivés étaientpubliépar un compte Twitter dédié à la recherche de souches de logiciels malveillants, connu sous le nom de @vxunderground.

Le groupe de rançongiciels Conti avait déjà publié un message soutenant le gouvernement russe. Aujourd'hui, un membre de Conti a commencé à divulguer des données avec le message suivant : "Fuck the Russian government, Glory to Ukraine !"tweeté@vxunderground.

Cartels d'extorsion

Les communications divulguées du gang Conti offrent une certaine visibilité sur la manière dont différentes souches de ransomware peuvent être liées.

Selon les messages de Conti, le groupe a collaboré avec différentes souches de rançongiciels et groupes les utilisant : des membres mentionnent travailler avec les rançongiciels Ryuk, Trikbot et Maze. Selon ces messages, les membres de Conti non seulement dirigeaient leur propre entreprise de rançongiciels, mais fournissaient également des outils et des services à d'autres groupes de pirates informatiques.

Par exemple, le 23 juin 2020, le chef du groupe, surnommé Stern, déclare en russe à un responsable subalterne connu sous le nom de Target : « Ryuk va bientôt rentrer de vacances. Il prendra tous nos robots. Pour lui, il nous faut 5 000 entreprises. » (Les messages précédents et suivants ne précisent pas clairement à quelles entreprises Stern faisait référence.)

Les messages ont également laissé une trace financière de ce partenariat : une transaction en Bitcoin entre les gangs Conti et Ryuk, mentionnée par Crystal Blockchain dans un article de mars. article de blog.

En septembre 2019, ONEun des portefeuilles Bitcoin associés à Conti envoyé 26,25 BTC(d'une valeur d'environ 200 000 $ à l'époque) vers un portefeuille associé à Ryuk, selon les données de la blockchain.

« Les informations de paiement contenues dans les conversations divulguées corroborent fortement ce lien et suggèrent que Conti a probablement tenté de contacter Ryuk », a déclaré Crystal dans un article de blog. « Nous avons également constaté que Ryuk envoyait des paiements directement vers un portefeuille Conti mentionné à plusieurs reprises dans l'historique des conversations ; cela suggère une affiliation et une certaine coordination opérationnelle entre ces deux groupes. »

Lire aussi :La réserve de Bitcoin des pirates de DarkSide a été localisée

Auparavant, les chercheurs en cybersécuritépointé vers une connexion possible entre les opérateurs des rançongiciels Ryuk et Conti, car ces derniers contenaient des éléments de code similaires. Cependant, les liens financiers entre les attaquants Ryuk et Conti n'avaient T été révélés auparavant.

Vitali Kremez d'Intel avancéa dit à Bleeping ComputerLa souche de ransomware utilisée par Conti a changé de mains à plusieurs reprises au cours de plusieurs années, commençant sous le nom d'Hermes en 2017. Elle aurait ensuite été achetée par d'autres pirates et transformée en Ryuk (peut-être nommé d'après unpersonnage de manga japonais). Ensuite, le groupe « s'est divisé, a changé de nom ou a décidé de passer au nom « Conti », qui semble être basé sur le code de Ryuk version 2 », a écrit Bleeping Computer.

Conti a opéré pendant la pandémie de coronavirus et a attaqué des organisations de soins de santé dans le monde entier, dont plus de la moitié étaient situées aux États-Unis.selon le FBILes experts en cybersécurité soupçonnent depuis longtemps le lien entre Conti et l’État russe, ainsi qu’avec de nombreux autres gangs de ransomware.

Ryuk est connu pourpiratageLes sites d'édition du New York Times et du Wall Street Journal en 2018, ainsi que plusieurs autres entreprises. Ryuk et Conti ont tous deux utilisé une variante du chiffrement AES-256 pour chiffrer les fichiers des victimes et extorquer une rançon pour les clés de déchiffrement.

Plus de victimes

Les messages divulgués mettent également en lumière l’ampleur des entreprises attaquées avec succès, dont beaucoup n’avaient pas été signalées auparavant.

Le centre médical Ridgeview, basé au Minnesota, était célèbre pourattaquéEn 2020, première année de la pandémie, ainsi que plusieurs autres organisations de santé américaines, elles ont été attaquées par les malwares Ryuk et Trickbot. Le groupe Conti serait également à l'origine de ces attaques : ses membres affirment avoir réussi à pirater le réseau de Ridgeview et à chiffrer les données nécessaires au fonctionnement du centre médical.

Selon Crystal, untransaction le 30 octobre 2020, il s'agit très probablement du paiement de 301 BTC (plus de 4 millions de dollars à l'époque) que Ridgeview a envoyé à Conti en guise de rançon.

La veille, le 29 octobre, les membres de Conti, Target et Stern, avaient mentionné que Ridgeview était prêt à payer 2 millions de dollars, soit 151 BTC; cependant, le partenaire supposé de Conti, l'organisateur de l'attaque, « voulait 300 BTC».

Plus tard, selon les journaux de discussion, les pirates ont prévalu et, le 30 octobre, 301 BTC ont été envoyés depuis un adresse attribué à l'échange Crypto Gemini à un portefeuillequi semble être indirectement lié à un autre portefeuille, que les membres de Conti ont mentionné dans les chats comme une adresse de paiement pour l'extorsion, selon Crystal.

Ridgeview n'a pas répondu à la Request de commentaire de CoinDesk au moment de la mise sous presse.

Il convient de rappeler que l'analyse de la blockchain repose dans une certaine mesure sur des hypothèses, et que l'attribution d'une adresse blockchain à une entité réelle n'est presque jamais précise à 100 %. Cependant, Crystal s'est dite assez confiante sur ce ONE.

« Notre méthodologie consistait à rechercher des transactions connexes d'un montant équivalent à la rançon demandée et discutées au sein du groupe », a déclaré Nick Smart, directeur de l'intelligence blockchain chez Crystal. Il a ajouté que Crystal était « convaincu à 90 % » que la transaction correspondait au paiement de la rançon en question, compte tenu de son timing, de son montant et de son lien avec les portefeuilles Conti précédemment signalés.

Le groupe criminel a réussi à collecter d’autres paiements encore plus importants.

Selon les journaux de discussion, la plus grosse rançon versée à Conti par une entreprise victime non identifiée s'élevait à 725 BTC, a constaté Crystal. Ce Bitcoin, équivalent à environ 8 millions de dollars à l'époque, a été versé par la plateforme d'emploi CareerBuilder, basée à Chicago, a précisé Crystal, l'entreprise étant mentionnée dans les discussions liées au versement de 725 BTC .

Le destinataire de ce paiement aurait pu êtrece portefeuille Bitcoin, a déclaré Crystal à CoinDesk. Le 10 octobre 2020, l'adresse reçu 725 BTC et l'a immédiatement envoyé à une autre adresse non associée à un service de Crypto , comme le montrent les données on-chain. Aucune autre transaction n'a impliqué cette adresse, à l'exception de ces deux-là.

CareerBuilder n'a pas répondu à la Request de commentaire de CoinDesk.

Selon les messages divulgués, Conti aurait fait une trentaine de victimes, jusqu'alors non signalées, dont Xerox (XRX), le célèbre Maker de photocopieurs, a déclaré Crystal. Xerox avait été piraté par un groupe de rançongiciels en 2020 ; cependant, les experts en cybersécurité liéle hack du gang Maze.

Les conversations ne permettent pas de savoir si Xerox a payé la rançon. En 2020, des données relatives au support client de Xerox ont fuité, suggérant que l'entreprise a refusé de payer la rançon et que ses données internes ont été divulguées en guise de sanction.ZDNet a rapportéXerox a refusé de commenter cet article.

D’autres attaques menées au même moment ont été sans aucun doute couronnées de succès.

Les membres de Conti discutent notamment des attaques contre le fabricant canadien de piscines Softub et plusieurs entreprises basées aux États-Unis : la société de transport Piper Logistics, la chaîne de magasins Sam's Furniture, le Maker d'équipements de plein air Clarus et le gestionnaire de trésorerie Loomis.

Le directeur des opérations de Softub, Tom Lalonde, a déclaré à CoinDesk dans un e-mail que la société avait enregistré ses données dans des sauvegardes basées sur le cloud et n'avait donc T payé la rançon.

Cependant, l'attaque « a créé de nombreux problèmes », a déclaré Lalonde. L'entreprise « a subi quelques attaques de rançongiciels durant cette période », a-t-il ajouté.

Piper Logistics, Sam’s Furniture, Clarus et Loomis n’ont pas répondu aux demandes de commentaires.

Dans leurs messages, les membres de Conti mentionnent avoir attaqué 89 entreprises, la plupart basées aux États-Unis, ainsi que plusieurs sociétés canadiennes, australiennes et européennes. On ignore combien de ces attaques ont réussi et ont donné lieu à des paiements en Bitcoin , mais l'ampleur des opérations semble indéniablement colossale, a déclaré Crystal dans un communiqué. article de blogpublié mardi.

Les membres de Conti mentionnent même des projets d’infection de Pfizer (PFE), le principal fabricant de produits pharmaceutiques et co-créateur d’un vaccin contre la COVID-19, mais il n’est pas clair si une attaque a été menée et, si oui, si elle a réussi.

Crystal l'a également ditsituéplusieurs portefeuilles non signalés auparavant utilisés par le groupe Conti, grâce à ces portefeuilles mentionnés dans les journaux de discussion : aportefeuille qui a reçu 200 BTC d'une victime non identifiée le 26 octobre 2020 ; portefeuillequi a collecté des paiements provenant de diverses attaques ;portefeuilleles membres de gangs étaient chargés de gérer les dépenses opérationnelles ; et d’autres.

Budgétisation du hacker

Selon les journaux de discussion divulgués, Conti avait quelquesgrands projets liés à la Crypto et à la blockchainPar exemple, les membres ont eu l’idée de créer leur propremarché de Cryptomonnaie peer-to-peer et outil basé sur des contrats intelligentspour extorsion.

Le groupe a également discuté de campagnes de désinformation visant à faire baisser les prix des crypto-monnaies plus petites et pourrait avoir été impliqué dans leArnaque à la sortie sur le thème de Squid Game, chercheur en sécurité Brian Krebsa écrit.

Mais les interactions du groupe avec la Crypto, pour la plupart, ont été plus banales et illustrent exactement comment fonctionne la Crypto et comment elle est convertie en monnaie fiduciaire dans le monde criminel.

Les messages divulgués montrent les opérations quotidiennes du groupe : les membres discutent du développement du code malveillant, de ce qui fonctionne et de ce qui ne fonctionne T, des paiements dus pour les services informatiques utilisés par le groupe et de l'interaction avec d'autres groupes criminels.

D'après les messages consultés par CoinDesk, les membres de Conti ont utilisé des Crypto, entre autres, pour payer des serveurs cloud et des licences logicielles. Par exemple, dans un message, un membre surnommé Defender demande à Stern de lui envoyer 700 $ en Bitcoin pour payer le serveur utilisé par le groupe.

Bien que les Crypto constituent le principal moyen de paiement entre les membres du groupe, la plupart préfèrent recevoir leur salaire en monnaie fiduciaire. Pour cela, les membres de Conti ont fait appel à un courtier de gré à gré (OTC), une méthode populaire en Russie et en Ukraine, où les plateformes d'échange centralisées mondiales ont toujours été rares.

Dans un message adressé à un nouveau membre en juillet 2020, Stern explique comment recevoir un chèque de paie mensuel : La nouvelle recrue doit trouver un bureau OTC avec un prix avantageux sur l'agrégateur OTC en langue russe Bestchange.com, créer un ordre de vente de Bitcoin pour un transfert par carte de débit et fournir à Stern une adresse de dépôt que l'OTC générerait.

De cette façon, « l’employé » recevrait de l’argent en monnaie fiduciaire directement sur sa carte de débit, tandis que le patron dépenserait des Crypto, utilisant essentiellement l’OTC comme processeur de paiement.

Les transactions OTC constituent également le principal canal de retrait des rançons, comme le montrent les journaux de discussion. Dans une conversation, un membre nommé Revers explique comment les Crypto extorquées sont vendues via des courtiers OTC : lors du transfert de Bitcoin, Conti envoie des mules, ou « drops », pour collecter l'argent, afin que les véritables propriétaires des Bitcoin mal acquis restent anonymes.

« Pour 300 000 dollars, personne n’irait en Russie Pour vous chercher », ajoute Revers.

Le paiement des produits informatiques et de l'utilisation des serveurs nécessite souvent des liquidités fiat, et c'est là que les cybercriminels crypto-natifs peuvent rencontrer des difficultés pour régler leurs factures. Lors d'une conversation entre deux membres, Strix et Carter, Strix demande comment Carter paie ses serveurs via PayPal (PYPL), car les courtiers OTC ne traitent que les sommes supérieures aux 7 euros par mois que Strix devait payer pour l'utilisation de son serveur personnel.

Carter explique qu'il vend d'abord des Crypto sur le marché peer-to-peer LocalBitcoins contre un virement bancaire sur sa carte de débit, laquelle est liée à un compte PayPal. Il ajoute que la carte est « fantôme », ce qui signifie qu'elle ne lui appartient T ; il s'agit apparemment d'une mule financière.

Le compte PayPal est vérifié, dit Carter, ce qui soulève la question de savoir si le compte PayPal qu'il utilise appartient également à une mule financière, ou s'il a été vérifié à l'aide de documents ID volés ou falsifiés - un service criminel disponible et florissant sur le darknet, en tant que Enquête CoinDeskmontré plus tôt.

Sur le même sujet : Pour 200 $, vous pouvez échanger des Crypto avec une fausse ID

Outre l'OTC anonyme, Conti a également utilisé des services connus pour encaisser les rançons, a déclaré Crystal. Les adresses associées à Conti ont envoyé des Bitcoin à l'OTC russe, désormais sanctionné. Suex; le Hydre marché du darknet ; l'échange RenBTC ; et les adresses associées à Wasabi, un portefeuille non dépositaire qui permet aux utilisateurs de masquer l'origine de leurs fonds en les fusionnant avec les Bitcoin d'autres personnes dans ce qu'on appelle CoinJointransactions.