Travailler pour un groupe de ransomware est aussi ennuyeux qu’un travail traditionnel

by admin
Travailler pour un groupe de ransomware est aussi ennuyeux qu'un travail traditionnel

Un choix de travail au bureau, hybride ou à distance, une équipe de ressources humaines avec un processus d’embauche strict, des évaluations de performance, une progression de carrière et des primes – tout cela ressemble à la configuration standard de toute équipe de développement de logiciels.

Mais il ne s’agit pas ici des conditions de travail d’une société de developpement logiciel, mais de celles de Conti, un important groupe de ransomware responsable d’une série d’incidents très médiatisés dans le monde entier, notamment de cyberattaques qui ont perturbé des entreprises, des hôpitaux, des agences gouvernementales, etc.

publicité

Le mois dernier, le groupe Conti, dont de nombreux experts en cybersécurité pensent qu’il opère depuis la Russie, a soutenu l’invasion russe de l’Ukraine. Cela a agacé quelqu’un qui a ensuite divulgué des mois de discussion internes de Conti, fournissant des informations privilégiées sur les opérations quotidiennes de l’un des groupes de ransomware les plus prolifiques de la planète.

Et si les actions de Conti – pirater des réseaux, chiffrer des fichiers et exiger des rançons de plusieurs millions de dollars pour obtenir une clé de décryptage – pourraient avoir un impact dramatique sur les organisations qui en sont victimes, les fuites brossent le tableau relativement banal d’une organisation composée de codeurs, de testeurs, d’administrateurs système, de personnel RH et d’autres employés.

Les chercheurs ont pu identifier une série de fonctions différentes au sein de l’organisation, depuis l’équipe des RH chargée de recruter les nouveaux employés jusqu’aux codeurs de logiciels malveillants, aux testeurs, aux “cryptographes” qui travaillent sur la protection du code, aux administrateurs système qui mettent en place l’infrastructure d’attaque, en passant par l’équipe offensive du groupe, qui vise à transformer une brèche en une capture complète du réseau ciblé, et le personnel chargé des négociations qui tente de conclure un accord avec les victimes.

Bon nombre des personnes impliquées dans Conti le deviennent par le biais d’annonces sur les forums clandestins du dark web, mais certaines sont approchées par des moyens plus traditionnels, comme les sites de recrutement russes, les services de chasseurs de têtes et le bouche à oreille. Comme tout autre processus d’embauche, les candidats seront soumis à un entretien afin de s’assurer qu’ils possèdent les bonnes compétences et qu’ils conviendraient au groupe.

D’après l’analyse des fuites par les chercheurs en cybersécurité de Check Point, certaines personnes recrutées par Conti ne savent même pas qu’elles travaillent pour un groupe cybercriminel, du moins au début. Les fuites suggèrent que certaines des personnes convoquées pour des entretiens se voient dire qu’elles aident à développer des logiciels pour les tests d’intrusion.

Une conversation divulguée révèle qu’un membre de l’équipe de Conti, qui, contrairement à tous les autres membres du groupe, mentionne son vrai nom, ne savait pas ce que faisait réellement le logiciel sur lequel il travaillait, et pourquoi les personnes avec lesquelles il travaillait essayaient autant de protéger leur identité.

Dans le cas présent, son responsable dit à l’employé qu’il aide à construire le back-end d’un logiciel d’analyse. Et ce n’est pas un cas isolé, il y a beaucoup de membres du groupe Conti qui ne semblent pas comprendre qu’ils sont impliqués dans la cybercriminalité.

“Il y a des dizaines d’employés qui ont été embauchés via des offres d’emploi légitimes et non via des forums clandestins. Il est difficile de dire combien d’entre eux ne comprennent pas du tout ce qu’ils font, mais beaucoup d’entre eux ne comprennent certainement pas la portée réelle de l’opération et ce que fait exactement leur employeur”, a déclaré à ZDNet Sergey Shykevich, responsable du groupe de renseignement sur les menaces chez Check Point Software.

Parfois, ces complices involontaires découvrent plus tard ce qu’ils ont contribué à construire. Dans ces cas-là, les responsables tentent de rassurer leurs employés en leur proposant une augmentation de salaire – beaucoup ont choisi de rester, la nature lucrative du travail étant plus attrayante.

Si la plupart des rôles sont purement en ligne, les discussion de Conti révèlent qu’il n’est pas rare que les membres du groupe travaillent dans des bureaux et des espaces de coworking dans les villes russes. Une fois encore, les discussion révèlent certains des événements et incidents quotidiens auxquels les employés sont confrontés – par exemple, quelqu’un a envoyé des messages demandant à ses collègues de le laisser entrer parce qu’une porte était bloquée de l’extérieur.

Les fuites ont fourni aux chercheurs en cybersécurité des informations précieuses sur le fonctionnement de l’un des rançongiciels les plus connus au monde, ainsi que sur les outils et les techniques qu’il utilise pour extorquer des rançons à ses victimes.

Mais malgré l’embarras que représente pour un ransomware la fuite d’autant de données internes – d’autant plus que l’une des principales tactiques de Conti consiste à menacer de publier les données volées si les victimes ne paient pas la rançon -, il est peu probable que ce soit la fin du groupe, qui continue à publier des informations sur de nouvelles victimes.

Certains employés pourraient partir, mais même pour ceux qui se sont engagés sans le vouloir, l’attrait d’un revenu fiable pourrait suffire à les inciter à rester, d’autant que les sanctions contre la Russie pourraient potentiellement restreindre leurs possibilités d’emploi.

“Je ne vois pas comment ils pourraient cesser complètement leurs activités”, a déclaré M. Shykevich.

“La disponibilité de postes potentiels dans le secteur technologique Russe pour les développeurs et les testeurs de logiciels espions est devenue beaucoup plus faible, donc je pense que même les employés involontaires qui comprennent maintenant ce qu’ils font, se tourneront vers la cybercriminalité, car il leur sera difficile de trouver un emploi légitime”, a-t-il ajouté.

Les rançongiciels restent une menace majeure pour la cybersécurité, qui peut perturber considérablement les organisations de toutes sortes. La meilleure façon de se défendre contre les ransomwares est de s’assurer que le réseau est aussi protégé que possible contre les cyberattaques, avec des niveaux de sécurité appropriés, y compris l’utilisation de l’authentification multifactorielle sur le réseau.

Il est également essentiel que les entreprises appliquent dès que possible les mises à jour et les correctifs de sécurité pour les vulnérabilités logicielles connues, car ces dernières, ainsi que les noms d’utilisateur et les mots de passe faibles, font partie des principaux points d’entrée exploités pour lancer des attaques par ransomware.

Source : “ZDNet.com”

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading