Des experts analysent les conversations de Conti et Hive Ransomware Gangs avec leurs victimes

Conti en Hive Ransomware Gangs-chats Des nouvelles

Une analyse de quatre mois de journaux de discussion couvrant plus de 40 conversations entre les opérateurs des rançongiciels Conti et Hive et leurs victimes a offert un aperçu du fonctionnement interne des groupes et de leurs techniques de négociation.

Dans un échange, l’équipe Conti aurait considérablement réduit la demande de rançon d’un montant stupéfiant de 50 millions de dollars à 1 million de dollars, une baisse de 98%, suggérant une volonté de se contenter d’un montant bien inférieur.

« Conti et Hive réduisent rapidement les demandes de rançon, offrant régulièrement des réductions substantielles à plusieurs reprises tout au long des négociations », Cisco Talos mentionné dans un rapport partagé avec The Hacker News. « Cela indique que malgré la croyance populaire, les victimes d’une attaque de ransomware ont en fait un pouvoir de négociation important. »

Conti et Hive font partie des souches de ransomwares les plus répandues dans le paysage des menaces, représentant au total 29,1 % des attaques détectées au cours de la période de trois mois entre octobre et décembre 2021.

Un élément clé à retenir de l’examen des journaux de discussion est le contraste des styles de communication entre les deux groupes. Alors que les conversations de Conti avec les victimes sont professionnelles et marquées par l’utilisation de différentes tactiques de persuasion pour convaincre les victimes de payer la rançon, Hive utilise une approche informelle « beaucoup plus courte et plus directe ».

En plus d’offrir des vacances et des remises spéciales, Conti est également connu pour fournir une « assistance informatique » pour prévenir de futures attaques, en envoyant à ses victimes un soi-disant rapport de sécurité qui répertorie une série de mesures que les entités concernées peuvent prendre pour sécuriser leurs réseaux.

De plus, le groupe à motivation financière a eu recours à des tactiques alarmistes, mettant en garde les victimes contre les atteintes à la réputation et les problèmes juridiques résultant d’une fuite de données et menaçant de partager les informations volées avec des concurrents et d’autres parties prenantes.

« Après avoir crypté les réseaux des victimes, les acteurs de la menace des rançongiciels ont de plus en plus utilisé la « triple extorsion » en menaçant de (1) divulguer publiquement des informations sensibles volées, (2) perturber l’accès Internet de la victime et/ou (3) informer les partenaires, actionnaires ou fournisseurs au sujet de l’incident », CISA c’est noté dans un avis plus tôt cette année.

Un autre point de distinction est la flexibilité de Conti en matière de délais de paiement. « Ces comportements suggèrent que les opérateurs de Conti sont des cybercriminels très opportunistes qui préféreraient finalement un paiement plutôt qu’aucun », a déclaré Kendall McKay, chercheur chez Talos.

Hive, d’autre part, a été observé pour augmenter rapidement ses demandes de rançon si une victime ne parvient pas à effectuer le paiement à la date stipulée.

Ce qui est également remarquable, c’est l’accent mis par Hive sur la vitesse plutôt que sur la précision pendant le processus de cryptage, ce qui le rend vulnérable aux erreurs cryptographiques qui permettent de récupérer la clé principale.

« Comme de nombreux cybercriminels, Conti et Hive sont des acteurs opportunistes qui cherchent probablement à compromettre les victimes par les moyens les plus simples et les plus rapides possibles, qui incluent souvent l’exploitation de vulnérabilités connues », a déclaré McKay. « Ceci est un rappel à toutes les organisations de mettre en place un système de gestion des correctifs solide et de maintenir tous les systèmes à jour. »

David
Rate author
Hackarizona