Kaspersky met à disposition l’outil de déchiffrement d’un variant de Conti

Le 16 mars 2023, Kaspersky a publié un outil de déchiffrement ciblant un variant du rançongiciel Conti. Ce logiciel permet aux entreprises ayant subi une attaque par ce groupe de récupérer leurs données.

Aujourd’hui disparu, Conti était un groupe de rançongiciel ayant opéré entre 2019 et 2022. Il suivait le modèle économique du Ransomware-as-a-service (RaaS) et appliquait la double extorsion. Le groupe était très actif entre 2019 et 2020. En effet, 13% des attaques par rançongiciels sur cette période étaient menées par ce groupe cybercriminel.

En mars 2022, Conti publia une note officialisant sa position pro-russe dans le contexte de la guerre en Ukraine. Cette déclaration mena alors à un conflit interne dont l’une des conséquences fut une fuite de données internes. Du code source provenant de cette dernière fut alors récupéré par divers groupes cybercriminels qui le modifièrent et l’utilisèrent pour mener leurs propres attaques, générant ainsi différents variants du rançongiciel originel.

Le variant concerné par le logiciel de déchiffrement développé par Kaspersky a été découvert en décembre 2022. Puis, en février 2023, les équipes de Kaspersky ont mis à jour une fuite de données contenant 258 clefs privées, le code source du variant ainsi que plusieurs déchiffreurs déjà compilés.

À partir des données retrouvées, le code de déchiffrement ainsi créé et les 258 clefs ont été ajoutés à l’outil de lutte anti-rançongiciels RakhniDecryptor 1.40.0.00, développé par Kaspersky. Il est désormais disponible gratuitement sur le site « No Ransom ».

L’ANS met à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.