Publicité en cours de chargement...
ProxyShell, CobalStrike, Mimikatz, Rclone... : retour sur les techniques utilisées par le groupe derrière le rançongiciel Conti
Pour se défendre, il est toujours intéressant de connaître les méthodes utilisées par les attaquants.
Dans un récent article [1], Sophos Labs nous propose un retour détaillé sur une compromission ayant conduit au déploiement du rançongiciel Conti [2].
Pour rappel, le rançongiciel Conti est souvent présenté comme le « petit frère » de Ryuk [3]. Pas mal d’acteurs gravitent autour du déploiement de ces rançongiciels, tels que Grim Spider [4], Wizard Spider [5] ou encore UNC1878 [6].
Parmi les « portes d’entrées » utilisées récemment, on retrouve la chaîne de vulnérabilités affectant les serveurs messagerie Exchange, ProxyShell révélée par Orange Tsai le mois dernier et dont je vous parlais il y a une quinzaine de jours sur le site de l’APSSIS [7].
La signature des attaquants lors des opérations de reconnaissance serait l’utilisation du domaine fictif « evil.corp » dans l’url permettant de déterminer si un serveur Exchange est vulnérable à la CVE-2021-34473 (étape 1 de ProxyShell). En comparant les scans que j’observe et le rapport de Sophos Labs, il semblerait bien que nous voyions passer les mêmes personnes depuis près de quinze jours.
Alors sont-ils fans de la série Mr Robot ? Ont-ils des liens avec le groupe d’attaquant derrière le cheval de Troie Dridex [8] ? Ce qu’il faut surtout retenir, c’est qu’il vaut mieux ne pas avoir un serveur Exchane vulnérable exposé sur Internet.
Après quelques opérations de reconnaissance via des scripts PowerShell, les attaquants établissent une connexion vers un serveur C2, utilisent Minidump (Mimikatz) pour effectuer un dump du processus LSASS, arrivent à récupérer un accès à privilèges permettant de se connecter en RDP à un autre serveur depuis le serveur Exchange compromis, pour ensuite télécharger le logiciel de contrôle à distance AnyDesk (un concurrent de TeamViewer). D’autre outils de contrôle à distance tels que Splashtop, Atera ou Remote Utilities ont également été observés.
Après avoir poussé un beacon Cobalt Stricke au format DLL, ils utilisent ensuite ADFind pour requêter l’annuaire Active Directory. Sean Gallagher et Peter Mackenzie (Sophos) mentionnent également l’utilisation de l’utilitaire Windows wmic pour récupérer une copie de la base Active Directory (NTDS.dit), de psexec, ou encore beaucoup moins légitime sur un SI, le framework Metasploit.
Il est également très intéressant de noter l’utilisation de l’utilitaire Rclone, que nous pouvons voir de plus en plus souvent utilisé par les attaquants souhaitant exfiltrer des données. Ici ils ont jeté leur dévolu sur le site de partage de fichiers Mega pour stocker les données exfiltrées.
Pour éviter d’être embêtés par des solutions Endpoint, les attaquants se sont également servis des outils de désinstallation pour Trend Micro, Sophos et BitDefender avant de déployer le rançongiciel Conti.
À conserver dans ses archives, le tableau publié par Sophos de l’ensemble des outils utilisés :
Les attaquants derrière Conti ne feront pas de cadeaux à nos établissements de santé, ils ont déjà publié à plusieurs reprises des données dérobées à des établissements de santé après les avoir chiffrées à la source :
Soyons #TOUSCYBERVIGILANTS
[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.conti
[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.ryuk
[4] https://malpedia.caad.fkie.fraunhofer.de/actor/grim_spider
[5] https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider
[6] https://malpedia.caad.fkie.fraunhofer.de/actor/unc1878
[8] https://malpedia.caad.fkie.fraunhofer.de/actor/evil_corp
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...