L’adversaire derrière le ransomware Conti a ciblé pas moins de 16 réseaux de soins de santé et de premiers intervenants aux États-Unis au cours de l’année écoulée, victimisant totalement plus de 400 organisations dans le monde, dont 290 sont situées dans le pays.
C’est selon un nouveau alerte flash publié jeudi par le Federal Bureau of Investigation (FBI) des États-Unis.
« Le FBI a identifié au moins 16 attaques de ransomware Conti ciblant les réseaux américains de soins de santé et de premiers intervenants, y compris les forces de l’ordre, les services médicaux d’urgence, les centres de répartition 9-1-1 et les municipalités au cours de l’année dernière », a déclaré l’agence.
Les attaques de ransomwares se sont aggravées au fil des ans, avec des cibles récentes aussi variées que les gouvernements étatiques et locaux, les hôpitaux, les services de police et les infrastructures critiques. Conti est l’une des nombreuses souches de ransomware qui ont capitulé sur cette tendance, commençant ses opérations en juillet 2020 en tant que Ransomware-as-a-Service (RaaS) privé, en plus de sauter dans le train de double extorsion en lançant un site de fuite de données.
Basé sur un Analyse publiée par la société de récupération de ransomware Coveware le mois dernier, Conti était la deuxième souche la plus répandue déployée, représentant 10,2% de toutes les attaques de ransomware au premier trimestre de 2021.
Les infections impliquant Conti ont également violé les réseaux du Health Service Executive irlandais (HSE) et ministère de la Santé (DoH), invitant le National Cyber Security Center (NCSC) à émettre sa propre alerte le 16 mai, déclarant «il y a de graves impacts sur les opérations de santé et certaines procédures non urgentes sont reportées à mesure que les hôpitaux mettent en œuvre leurs plans de continuité des activités».
Les opérateurs Conti sont connus pour infiltrer les réseaux d’entreprise et se propager latéralement à l’aide de balises Cobalt Strike avant d’exploiter les informations d’identification des utilisateurs compromises pour déployer et exécuter les charges utiles du ransomware, les fichiers cryptés étant renommés avec une extension « .FEEDC ». Les liens de courrier électronique malveillant, les pièces jointes ou les informations d’identification volées par le protocole RDP (Remote Desktop Protocol) sont quelques-unes des tactiques utilisées par le groupe pour prendre pied dans le réseau cible, a déclaré le FBI.
« Les acteurs sont observés à l’intérieur du réseau des victimes entre quatre jours et trois semaines en moyenne avant de déployer le ransomware Conti », a noté l’agence, ajoutant que les montants de la rançon sont adaptés à chaque victime, les demandes récentes atteignant 25 millions de dollars.
L’alerte intervient également au milieu d’une prolifération d’incidents de ransomwares ces dernières semaines, alors même que les extorqueurs continuent de rechercher des prix exorbitants auprès des entreprises dans l’espoir de décrocher un énorme et rapide salaire. Le principal assureur CNA Financial aurait payé 40 millions de dollars, tandis que Colonial Pipeline et Brenntag ont chacun déboursé près de 4,5 millions de dollars pour retrouver l’accès à leurs systèmes cryptés.
