Plusieurs entreprises russes ont subi un rançongiciel (s’ouvre dans un nouvel onglet) attaque à l’aide d’outils conçus à l’origine par un acteur menaçant russe. Les assaillants qui revendiquent la responsabilité des attaques disent qu’ils le font en représailles à l’invasion de l’Ukraine.
Lorsque la Russie a attaqué l’Ukraine pour la première fois il y a près de deux mois, les opérateurs du rançongiciel Conti ont publié une déclaration disant que quiconque s’opposerait à la Russie ou aux entreprises russes ferait face à leur colère.
Bien qu’il ait rapidement repris la déclaration (après un tollé majeur de la part de ses sous-traitants, partenaires et utilisateurs), un pirate informatique ukrainien s’est attaqué au groupe et a divulgué plusieurs versions du ransomware.
Victimes de grande envergure
La fuite a permis à d’autres acteurs de la menace de créer leurs propres versions du logiciel malveillant (s’ouvre dans un nouvel onglet). Et maintenant, un groupe qui s’appelle NB65 utilise des souches Conti pour attaquer des cibles russes.
Selon un rapport de BipOrdinateurau cours du mois dernier, l’opérateur de gestion de documents Tensor, l’agence spatiale russe Roscosmos et VGTRK, le radiodiffuseur public russe de télévision et de radio, ont tous été compromis.
Après avoir violé VGTRK, le groupe a volé et divulgué 786,2 Go de données, dont 900 000 e-mails et 4 000 fichiers, a-t-on dit.
Ceux qui subissent une attaque reçoivent ce message :
« Nous surveillons de très près. Votre président n’aurait pas dû commettre de crimes de guerre. Si vous cherchez quelqu’un à blâmer pour votre situation actuelle, ne cherchez pas plus loin que Vladimir Poutine. »
Parler à Ordinateur qui bipeun représentant de NB65 a déclaré que le chiffreur était basé sur la première fuite de code source Conti, mais a été modifié pour chaque victime afin de rendre inutiles les décrypteurs connus.
« Il a été modifié de manière à ce que toutes les versions du décrypteur de Conti ne fonctionnent pas. Chaque déploiement génère une clé aléatoire basée sur quelques variables que nous modifions pour chaque cible », a déclaré NB65 à BleepingComputer. « Il n’y a vraiment aucun moyen de décrypter sans nous contacter. »
NB65 dit qu’aucune de ses victimes n’a été en contact.
Via BleepingComputer (s’ouvre dans un nouvel onglet)