Getty Images
Des pirates informatiques motivés financièrement et liés à un groupe notoire de cybercriminalité Conti réaffectent leurs ressources pour les utiliser contre des cibles en Ukraine, indiquant que les activités de l’acteur de la menace s’alignent étroitement sur l’invasion du Kremlin dans son pays voisin, a rapporté mercredi un chercheur de Google.
Depuis avril, un groupe de chercheurs sous le nom d’UAC-0098 a mené une série d’attaques qui ont ciblé des hôtels, des organisations non gouvernementales et d’autres cibles en Ukraine, a rapporté le CERT UA dans le passé. Certains des membres de l’UAC-0098 sont d’anciens membres de Conti qui utilisent maintenant leurs techniques sophistiquées pour cibler l’Ukraine alors qu’elle continue de repousser l’invasion russe, a déclaré Pierre-Marc Bureau, chercheur à l’analyse des menaces de Google.
Un changement sans précédent
“L’attaquant s’est récemment concentré sur les organisations ukrainiennes, le gouvernement ukrainien et les organisations humanitaires et à but non lucratif européennes”, a écrit Bureau. “TAG évalue que l’UAC-0098 a agi en tant que courtier d’accès initial pour divers groupes de rançongiciels, dont Quantum et Conti, un gang russe de cybercriminalité connu sous le nom de FIN12 / WIZARD SPIDER.”
Il a écrit que “les activités UAC-0098 sont des exemples représentatifs de lignes floues entre des groupes motivés financièrement et soutenus par le gouvernement en Europe de l’Est, illustrant une tendance des acteurs de la menace à modifier leur ciblage pour s’aligner sur les intérêts géopolitiques régionaux”.
En juin, des chercheurs d’IBM Security X-Force ont rapporté à peu près la même chose. Il a révélé que le groupe Trickbot basé en Russie – qui, selon des chercheurs d’AdvIntel, a été effectivement repris par Conti plus tôt cette année – avait “systématiquement attaqué l’Ukraine depuis l’invasion russe – un changement sans précédent car le groupe n’avait pas ciblé l’Ukraine auparavant. .”
Publicité
Les “campagnes Conti contre l’Ukraine sont remarquables en raison de la mesure dans laquelle cette activité diffère des précédents historiques et du fait que ces campagnes semblaient spécifiquement destinées à l’Ukraine avec certaines charges utiles qui suggèrent un degré plus élevé de sélection de cibles”, IBM Security X-Force chercheurs ont écrit en juillet.
Les rapports de Google TAG et IBM Security X-Force citent une série d’incidents. Ceux répertoriés par TAG comprennent :
- Fin avril, une campagne de phishing par e-mail a livré AnchorMail (appelé “LackeyBuilder”). La campagne a utilisé des leurres avec des sujets tels que “Projet ‘Citoyen actif'” et “File_change,_booking”.
- Un mois plus tard, une campagne de phishing ciblait des organisations du secteur hôtelier. Les e-mails usurpaient l’identité de la cyberpolice nationale d’Ukraine et tentaient d’infecter des cibles avec le logiciel malveillant IcedID.
- Une campagne de phishing distincte ciblait l’industrie hôtelière et une ONG située en Italie. Il a utilisé un compte d’hôtel compromis en Inde pour tromper ses cibles.
- Une campagne de phishing qui s’est fait passer pour Elon Musk et son entreprise satellite StarLink dans le but d’obtenir des cibles dans les secteurs de la technologie, de la vente au détail et du gouvernement ukrainiens pour installer des logiciels malveillants.
- Une campagne avec plus de 10 000 spams a usurpé l’identité du Service national des impôts de l’Ukraine. Les e-mails contenaient un fichier ZIP joint qui exploitait CVE-2022-30190, une vulnérabilité critique connue sous le nom de Follina. TAG a réussi à perturber la campagne.
Les conclusions de Google TAG et d’IBM Security X-Force suivent des documents divulgués plus tôt cette année montrant que certains membres de Conti ont des liens avec le Kremlin.
