D’anciens acteurs du ransomware Conti attaquent des cibles politiques telles que le gouvernement ukrainien, selon un nouveau message du groupe d’analyse des menaces de Google.

Mercredi de TAG rapport a couvert cinq campagnes menées par un acteur de la menace d’avril à août. Le groupe, suivi sous le nom d’UAC-0098 par l’équipe ukrainienne d’intervention en cas d’urgence informatique, CERT-UA, a récemment concentré ses attaques sur le gouvernement ukrainien, les organisations ukrainiennes et diverses organisations humanitaires et à but non lucratif européennes.

Selon le rapport de TAG, UAC-0098 est un courtier d’accès initial qui a travaillé avec divers groupes de ransomware, y compris Conti et Quantum, et il était historiquement connu pour utiliser le Cheval de Troie bancaire IcedID.

Un élément notable du nouveau rapport de TAG concerne le groupe de ransomware Conti.

« Sur la base de plusieurs indicateurs, TAG estime que certains membres de l’UAC-0098 sont d’anciens membres du groupe de cybercriminalité Conti qui réorientent leurs techniques pour cibler l’Ukraine », a écrit Pierre-Marc Bureau, développeur de logiciels Google et auteur de l’article.

Selon les analystes des menaces et les responsables gouvernementaux, la grande majorité des cyberattaques contre l’Ukraine ont été menées par des groupes parrainés par l’État. géré par les agences de renseignement russes plutôt que des gangs cybercriminels ou des entrepreneurs indépendants. Cependant, Conti s’est démarqué comme une rare exception.

Bien que le gang ait été détecté pour la première fois en 2020, Conti a pris de l’importance à la fin de février lorsqu’il soutien déclaré à la Russie dans l’invasion de l’Ukraine par le pays. Cela a été suivi d’un fuite massive des outils Conti et de la documentation interne, ainsi qu’un Prime de 10 millions de dollars du gouvernement américain après que le gang a piraté le gouvernement costaricain à la mi-avril.

Selon un rapport publié en mai par advIntel, fournisseur de renseignements sur les menaces, Conti est en train de changer de marque et la scission en plusieurs groupes après que sa déclaration pro-russe a provoqué l’assèchement des paiements de rançon.

Le rapport du Bureau a fourni deux indicateurs reliant l’UAC-0098 à Conti : une porte dérobée privée non divulguée auparavant utilisée par les groupes affiliés à Conti, et l’utilisation d’un outil de commandement et de contrôle évalué pour être développé par Conti. TechTarget Editorial a demandé d’autres indicateurs, mais Google n’a pas répondu au moment de mettre sous presse.

Le post TAG a fourni des détails techniques pour un certain nombre d’attaques récentes UAC-0098; un aspect remarquable était que les attaques semblaient brouiller les frontières entre la cybercriminalité financière et la cybercriminalité à motivation politique. Par exemple, une campagne UAC-0098 ciblait des organisations ukrainiennes du secteur de l’hôtellerie, mais l’attaque elle-même comprenait le déploiement du cheval de Troie bancaire IcedID.

« Les activités de l’UAC-0098 sont des exemples représentatifs de lignes floues entre les groupes motivés par des raisons financières et les groupes soutenus par le gouvernement en Europe de l’Est, illustrant une tendance des acteurs de la menace à modifier leur ciblage pour s’aligner sur les intérêts géopolitiques régionaux », a écrit Bureau. « De manière assez unique, le groupe démontre un fort intérêt pour la violation des entreprises opérant dans l’industrie hôtelière de l’Ukraine, allant jusqu’à lancer plusieurs campagnes distinctes contre les mêmes chaînes hôtelières. »

Le Bureau a noté que le TAG n’a pas identifié d’activité post-exploitation menée par l’acteur de la menace.

Alexander Culafi est un écrivain, journaliste et podcasteur basé à Boston.