Présentation d'un scénario d'attaque utilisant le rançongiciel Conti

Conti est un rançongiciel qui serait une version améliorée de Ryuk, lui-même une version améliorée d’Hermès en vente sur le dark web. A la différence des précédentes versions, Conti  peut entrainer la divulgation des données volées, faisant ainsi pression sur la victime pour payer la rançon. L’attaque est basée sur l’exploitation de vulnérabilités présentes sur les VPN Fortinet (CVE-2018-13374, CVE-2018-13379) et sur Microsoft Windows (CVE-2020-0796). Le scénario typique d’attaque activant le rançongiciel Conti s’effectue généralement comme suit :         
 

  • Jour 1 : Exploitation de la vulnérabilité d’un firmware du pare-feu Fortigate version 5.6.3 build 1547 (GA) pour le processus d’infiltration (quelques secondes) et utilisation de proxyshell. L’attaquant cherche ensuite à obtenir des droits administrateurs via des programmes malveillants tels que ShardUp, PrivEscp, PowerUp, BeRoot et FullPower, et à déployer puis activer une charge utile cobalt strike. Il peut également utiliser metasploit. Après l’intrusion sur le premier serveur, les attaquants utilisent la tactique du mouvement latéral pour s’attaquer aux autres serveurs via des outils tels que Psexec, WMIC, Atera ou AnyDesk. Ils utilisent ensuite les programmes malveillants tels que Bazar Loader et IcedId payload pour installer des portes dérobées destinées à exfiltrer des données.
  • Jour 2 : Aucune activité malveillante.
  • Jour 3 : Utilisation de Remote Desktop Protocol (RDP), PsExec et du SMB pour progresser latéralement entre les serveurs. L’attaquant exfiltre des données des serveurs via la plateforme RCloud vers le site d’hébergement de fichiers Mega.
  • Jour 4 : Suppression des sauvegardes automatiques et manuelles Shadows Copies de Microsoft via WMI, puis les attaquants commencent discrètement le test du rançongiciel. Plusieurs dizaines de minutes après le test, l’attaquant entame la phase de contamination massive du réseau par l’activation de Conti : chiffrement des données et affichage du message à la victime.
Informations
+

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire
  • Exfiltration / vol de données sensibles
  • Revente d’informations sensibles volées
  • Chiffrement des données

Criticité

  • NA

CVE

CVE-2020-0796
CVE-2018-13379
CVE-2018-13374

Composants vulnérables

  • Toutes les versions obsolètes de Windows (Xp, VISTA, 7…) et non mise-à-jour - surveiller les composants SMB
  • Fortigate version 5.6.3 build 1547 (GA)

 


Recommandations
+
  • Installer les mises à jour Windows et Fortinet
  • Authentification Multi-facteurs