I. Présentation

Au sein de WAPT 2.2, l'éditeur français Tranquil IT a ajouté de nouvelles fonctionnalités et l'une d'entre elles marque un tournant dans l'histoire de cette solution de déploiement. En effet, WAPT est désormais capable de déployer un système d'exploitation sur vos postes de travail ! Cela vient s'ajouter aux capacités existantes, notamment le déploiement des logiciels et des mises à jour Windows.

• Toutes les nouveautés de WAPT 2.2

Dans cet article, je vous propose de découvrir cette fonctionnalité nommée "WADS" pour WAPT Automated Deployment Services, car j'ai eu l'occasion de l'essayer. Concrètement, WADS offre la possibilité de déployer l'image d'un système d'exploitation au travers du réseau, via le fameux boot PXE, ou à partir d'une clé USB bootable qui va établir une connexion avec le serveur WAPT. Pour récupérer les sources d'installation, le client à déployer va se connecter sur votre dépôt principal ou sur un dépôt secondaire. Par "sources d'installation", j'entends bien sûr l'image disque du système d'exploitation en lui-même, mais aussi les pilotes attribués à cette machine. Pour aller plus loin, il est envisageable de coupler le déploiement d'un système avec le déploiement de logiciels afin de préparer entièrement la machine. En complément, la machine pourra être intégrée automatiquement à votre domaine Active Directory.

Pour fonctionner WADS utilise deux ports :

• Le port 80 ou 443 (http/https) pour télécharger les sources via le dépôt
• Le port 69 correspondant au TFTP si vous utilisez le boot PXE (pas nécessaire pour le boot USB, bien entendu)

Pour déployer un système, WADS ne s'appuie pas sur un partage de fichiers SMB (soumis à authentification), mais sur une connexion HTTP/HTTPS. De ce fait, on peut imaginer des scénarios de déploiement sécurisé over Internet.

Je ne vais pas m'attarder sur l'installation du serveur WAPT, j'en ai déjà parlé dans un précédent article et il y a aussi une bonne documentation à ce sujet. Pour rappel, le serveur WAPT s'installe aussi bien sous Linux que Windows.

• Découvrir WAPT Enterprise

II. Déployer un OS avec WAPT

Sur mon serveur WAPT nommé "SRV-APPS" avec l'adresse IP "192.168.100.12" et qui tourne sous Windows Server 2022, je commence par lancer la console WAPT.

A. Installation du paquet WADS

Afin de bénéficier de WADS, le paquet "tis-wads-winpe-requirement" doit être installé sur notre machine afin de bénéficier du kit Windows ADK (nécessaire pour créer un WinPE). Ce paquet est disponible dans les dépôts officiels de Tranquil IT. Une simple recherche permet de le trouver facilement.

Il faut commencer par l'importer sur notre dépôt privé afin de le déployer dans un second temps.

Une fois que c'est fait, nous pouvons passer à l'utilisation de WADS via l'onglet "Déploiement d'OS" de la console WAPT.

B. Créer un environnement WinPE

En cliquant sur l'onglet "Déploiement d'OS", un message s'affiche : "Pour commencer, un WinPE est nécessaire. Voulez-vous le télécharger ?". Nous allons répondre "Oui" sinon, nous ne pourrons pas aller plus loin.

Ensuite, il faut choisir l'architecture, dans mon "x64" car je déploie uniquement des machines 64 bits.

Dans la liste des dispositions de clavier listées à l'écran, il faut choisir "French_Standard", enfin vous pouvez choisir autre chose selon votre configuration bien entendu.

L'image "boot.wim" va être importée sur notre serveur WAPT, il faut patienter pendant cette opération.

C. Importer un ISO de Windows

Le fichier ISO du système à installer doit être chargé sur le serveur WAPT également. Pour cela, on clique sur le "+" au sein de la section "ISO d'installation". Une fenêtre s'ouvre : il suffit de nommer l'ISO, d'indiquer le chemin vers le fichier et de choisir l'architecture. Pour ma part, j'utilise un ISO de Windows 10 Pro version 21H2.

Après analyse du fichier, notamment pour calculer le hash, il va être importé dans WAPT.

D. Créer un fichier de réponse pour la configuration

Dans le but de personnaliser le déploiement de Windows, nous allons créer un fichier de réponse, qui est en quelque sorte un fichier de configuration au format XML. Ce fichier contient différentes directives, comme nous allons le voir ci-dessous. Dans la section "Configuration", il faut cliquer sur le bouton "+" pour ajouter une config. Là, il faut sélectionner l'ISO précédemment créé afin de l'associer à cette configuration.

Tranquil IT a inclus 4 modèles à WAPT, généré à partir du site "windowsafg.com". Il y a deux modèles pour Windows 7 et deux modèles pour Windows 10, avec à chaque fois l'intégration en ligne ou hors ligne dans l'AD (hors ligne = créer l'objet ordinateur en amont dans l'AD). Pour des raisons de sécurité, il est préférable d'utiliser le mode hors ligne (djoin) afin d'éviter d'ajouter un couple identifiant/mot de passe dans le fichier de réponse.

Le fichier de réponse est personnalisable, notamment pour inclure la clé de produit Windows 10. Utile lorsque l'on dispose d'une licence en volume afin d'activer automatiquement Windows. Une clé générique est intégrée au fichier, mais votre clé peut être insérée à la place. Par défaut, un compte utilisateur nommé "superadmin" sera créé sur Windows, sans mot de passe (mais vous pouvez le définir dans le fichier de réponse, voire même utiliser un autre nom pour le compte), tout en sachant qu'il est recommandé de gérer ce compte via Microsoft LAPS pour le sécuriser.

Pour une intégration dans le domaine en mode "en ligne", il faut s'authentifier auprès de l'AD. Pour cela, il faut renseigner le bloc <Credentials> de la configuration, avec le nom de domaine, le nom d'utilisateur et son mot de passe. Il est indispensable de créer un compte utilisateur dédié à cette tâche avec un minimum de droits : l'autorisation de joindre des machines au domaine.

Une fois que les choix sont faits, il ne reste plus qu'à valider. Il est possible de modifier la configuration ultérieurement.

En complément du fichier de réponse, des scripts externes peuvent être ajoutés afin d'exécuter des tâches complémentaires telles que l'installation d'applications. Par exemple, on peut utiliser la commande "wapt-get install" pour réaliser l'installation d'un paquet à partir de WAPT.

E. Ajouter des pilotes

Pour intégrer des pilotes correspondants à la machine qui doit être déployée, c'est pareil, il faut créer un nouvel élément dans la section "Pilotes". En sélectionnant un répertoire, WAPT va importer tous les pilotes situés dans le dossier. Chaque profil de pilote pourra être affecté à une ou plusieurs machines enregistrées auprès de la fonction WADS.

F. Serveur DHCP et TFTP

Pour fonctionner avec le boot PXE, il est nécessaire de disposer d'un serveur DHCP et d'un TFTP. C'est classique, et pas spécifique à WAPT. Pour les serveurs DHCP et TFTP, nous pouvons bien sûr utiliser un serveur Windows ou Linux : au choix. Pour ma part, je vais poursuivre sur ma machine Windows...

Pour le DHCP, je vais utiliser mon étendue existante sur le sous-réseau "192.168.100.0/24". Pour que le boot PXE fonctionne, nous devons configurer les options 66 et 67 afin d'indiquer l'adresse IP du serveur ainsi que le nom du fichier de boot (pour une machine UEFI, dans cet exemple).

Ce qui donne la configuration suivante pour mon étendue :

Pour que iPXE fonctionne, il faut aller plus loin et configurer une classe d'utilisateur puis une stratégie.

Pour configurer la classe utilisateur et la stratégie pour les machines UEFI, voici 3 commandes PowerShell pour gagner un peu de temps :

# Créer la classe utilisateur "iPXE" avec la bonne valeur
Add-DhcpServerv4Class -Name "iPXE" -Type User -Data "iPXE"

# Créer une politique nommée "iPXE UEFI" au sein de l'étendue "192.168.100.0", condition "ET" où la classe utilisateur est égale à "iPXE"
Add-DhcpServerv4Policy -Name "iPXE UEFI" -ScopeId "192.168.100.0" -UserClass EQ,"iPXE" -Condition AND

# Modifier l'option "Nom du fichier de démarrage" dans la stratégie DHCP "iPXE UEFI"
Set-DhcpServerv4OptionValue -ScopeId "192.168.100.0" -PolicyName "iPXE UEFI" -OptionId 67 "http://srv-apps.it-connect.local/api/v3/baseipxe"

Visuellement, cela donne le résultat suivant pour la classe utilisateur (clic droit sur "IPv4" > "Définir les droits des utilisateurs") :

Puis, pour la stratégie DHCP au sein de l'étendue :

Note : si vous avez besoin de gérer les machines UEFI et BIOS, il faut créer deux stratégies DHCP différentes avec deux conditions à chaque fois. Cela nécessite d'affiner la configuration ci-dessus.

Pour le TFTP, j'utilise l'éternel "TFTPD by Ph. Jounin" tout en sachant que les développeurs de Tranquil IT envisagent d'inclure le serveur TFTP à leur solution par la suite. Voici la configuration utilisée (il faudra penser à ouvrir le port sur le pare-feu local en supplément).

Tout est prêt : il ne reste plus qu'à déployer la machine !

G. Déployer la machine via boot PXE

Lorsque l'on veut déployer une machine via la fonction WADS, il faut qu'elle soit inscrite dans la base de WAPT. Pour cela, il y a 4 possibilités :

• Soit on inscrit manuellement la machine via le bouton "Nouvelle machine" (avec une adresse MAC au format xx:xx:xx:xx:xx:xx)
• Soit on importe un fichier CSV pour un import massif
• Soit on importe depuis l'inventaire WAPT existant
• Soit on inscrit la machine depuis l'environnement WinPE / iPXE

L'adresse MAC est l'identifiant unique de chaque machine afin de faire le lien entre le nom, la configuration à appliquer, les pilotes et la clé de produit. Par la suite, ce serait utile de pouvoir utiliser le numéro de série de la machine. Enfin, par expérience lors de déploiement massif, j'utilise plutôt le numéro de série que l'adresse MAC car le fournisseur peut fournir une liste : ce qui facilite l'intégration dans la solution de déploiement.

Pour pousser la démo jusqu'au bout, je vais utiliser l'inscription depuis l'environnement WinPE. Pour cela, il faut démarrer la machine sur le réseau... C'est-à-dire en mode "boot PXE" puis le DHCP et le TFTP vont permettre de charger l'environnement de démarrage.

Nous arrivons sur cet écran :

Nous choisissons "WinPE" afin d'avoir la disposition de clavier que l'on a choisie au moment de la création du WinPE dans l'interface WAPT. On inscrit la machine en lui associant un nom, tout en sachant que ce nom pour nommer Windows par la suite.

On valide... La machine va s'éteindre ! Côté WAPT, elle est désormais inscrite et visible dans la partie "Déploiement d'OS". La machine étant remontée, nous devons lui attribuer une configuration et la basculer sur "En attente de déploiement = true (vrai)".

Pour activer le déploiement sur cette machine, on effectue un clic droit puis "Démarrer le déploiement".

Côté WAPT, c'est prêt ! Il ne reste plus qu'à démarrer la machine précédemment inscrite afin qu'elle soit déployée ! Cette fois-ci, l'installation du système va démarrer, en commençant par le téléchargement des sources d'installation en local, après avoir réalisé le partitionnement du disque.

Ensuite, Windows va s'installer normalement comme on peut le voir sur l'image suivante.

Une fois l'installation terminée, on peut s'authentifier sur la machine avec un compte du domaine ou avec le compte "superadmin". Dans les options de Windows, on peut constater que la machine se nomme bien "PC-WADS" comme je l'ai demandé.

Côté WAPT, la colonne "Statut" permet de suivre l'avancement des déploiements en cours. Ici, on peut voir le statut "Install finish" suivi d'une date et de l'heure. Puisque le déploiement a été lancé sur cette machine, l'option "En attente de déploiement" est automatiquement repositionnée à "False" pour ne pas que la machine se déploie en boucle.

Voilà, nous venons de déployer Windows sur un ordinateur à l'aide de WAPT et de sa nouvelle fonctionnalité WADS.

III. Conclusion

WAPT s'enrichit d'une fonctionnalité intéressante qui répond à une véritable problématique : le déploiement des postes de travail en entreprise. Cela devrait satisfaire les DSI équipées de WAPT et qui recherchait une solution de déploiement de systèmes d'exploitation. Surtout, cela permet de gérer la machine du début à la fin, c'est-à-dire du moment où on sort la machine du carton pour la déployer à la mise en service auprès de l'utilisateur avec déjà les logiciels installés.

Avec WADS, Tranquil IT s'attaque directement à d'autres solutions comme celle de Microsoft avec son couple "WDS/MDT". Puisque les sources d'installation sont téléchargées depuis une connexion HTTP (et par la suite en HTTPS), on peut imaginer avoir un serveur WAPT dans le Cloud et des machines clientes à déployer sur différents sites (d'autant plus que l'on peut utiliser des dépôts secondaires). Dans ce cas précis, nous allons utiliser une clé USB bootable avec l'environnement WinPE plutôt que le boot PXE via DHCP/TFTP pour ne pas impacter l'infrastructure existante.

• Découvrir WAPT Enterprise

The post Comment déployer Windows avec WAPT 2.2 ? first appeared on IT-Connect.

Bien que l’on puisse penser que le téléchargement d’applications à partir du Google Play Store est sans risque, cela n’est pas toujours le cas. Certains malwares et chevaux de Troie peuvent échapper à la surveillance de Google et aux différents contrôles de sécurité. Lorsque l'on regarde en dehors du Play Store, les risques sont encore plus élevés !

D’ailleurs, ce n’est pas rare et il suffit de suivre l’actualité pour se convaincre que la menace est bien réelle ! Nous pouvons citer de nombreux exemples, comme TeaBot, un malware repéré sur le Google Play Store. Le petit nouveau, c’est « Escobar », un malware qui est diffusé sur le web en dehors du Play Store. Faisons les présentations…

Escobar, un nouveau logiciel malveillant Android

Le 3 mars dernier, les chercheurs en sécurité du Malware Hunter Team ont découvert la présence du malware « Escobar » sur le Web. D’ailleurs, son nom « Escobar » fait bien sûr référence au baron de la drogue Pablo Escobar, qu’il est inutile de présenter.

Ce nouveau logiciel malveillant a été découvert en dehors du Play Store : il circule sur Internet et prend la forme d’un paquet APK, correspondant à une application Android. Pour tenter de tromper les utilisateurs, ce paquet APK s’annonce comme étant légitime et correspondant au paquet d’installation d’un célèbre antivirus : McAfee.

Résultat, l’utilisateur pense réaliser une bonne action en installation McAfee sur son smartphone, mais il installe en fait le malware Escobar. Ce dernier est parvenu à contaminer de nombreux smartphones afin de voler les coordonnées bancaires et les cryptomonnaies sur les appareils infectés. Au final, c’est le compte bancaire du propriétaire du smartphone qui est vidé !

Initialement, le malware Escobar s’empare de vos SMS, de votre historique de navigation, de votre position géographique, mais aussi de vos photos et vidéos. Disons que ça, c’est la partie « bonus » car c’est bien après votre argent qu’il en a. Pour voler vos coordonnées bancaires, il superpose une fausse fenêtre d’authentification par-dessus celle de l’application de votre banque, au moment où vous souhaitez vous authentifier.

Le malware Escobar serait « compatible » avec 190 applications bancaires diverses (banques traditionnelles et accès à des portefeuilles de cryptomonnaies).

La bonne nouvelle, c’est que si vous installez uniquement des applications à partir du Play Store, vous ne risquez pas de l’attraper. En revanche, si vous avez pour habitude de télécharger des paquets d’installation sur le Web, soyez vigilants (comme toujours !).

Quelques mots sur Teabot…

Pour l’autre malware mentionné au début de cet article, à savoir Teabot, il est aujourd’hui retiré du Google Play Store. Mais, il faut constater une chose : il fait son retour de temps en temps !

Le cheval de Troie bancaire TeaBot capture les identifiants de connexion utilisés pour l’accès aux comptes bancaires de l'utilisateur, ainsi que les identifiants de connexion nécessaires pour accéder aux services de messagerie en ligne, aux réseaux sociaux, tout en récupérant les codes d’authentification à deux facteurs.

Avant d’être retiré par Google, ce malware a pu être téléchargé plus de 10 000 fois, sous le nom de l’application "QR Code & Barcode - Scanner". Comment ce type de logiciel peut-il passer à travers les mécanismes de filtrage de Google Play ? Cela serait principalement lié au fait que le logiciel n’entre pas en action dès son téléchargement. Après quelque temps d’utilisation, il finit par demander à l’utilisateur de télécharger un module complémentaire, dans lequel se cache le cheval de Troie TeaBot.

Comment renforcer la sécurité de son smartphone ?

Face à ces différentes menaces, il est plus que jamais important d’améliorer la sécurité de ses appareils connectés, qu’il s’agisse d’un ordinateur, d’une tablette ou d’un smartphone. Surtout, il faut être vigilant, et ne pas faire preuve de naïveté !

Pour protéger vos données, il est recommandé d’équiper son smartphone de différents outils, on peut citer l’antivirus pour mobile qui a clairement une utilité, mais aussi un gestionnaire de mot de passe qui vous aidera à garder vos informations de connexion en sécurité. En complément, et c’est assez tendance, un VPN peut s’avérer intéressant notamment lorsque l’on utilise des réseaux WiFi publics, mais aussi pour protéger un peu plus sa vie privée.

En plus de ces différents outils, car oui les outils ne font pas tout, n’oubliez pas de réaliser les mises à jour de votre smartphone dès qu'elles vous sont proposées : aussi bien les mises à jour du système que les mises à jour des applications. C’est un bon moyen de se protéger contre les failles de sécurité connues.

De même, faites preuve d’une grande vigilance lors du téléchargement de nouvelles applications, y compris sur le Play Store : regardez l’éditeur, le nombre de téléchargements et les avis. Au moment de l’installation, contrôlez les autorisations de ces applis, en supprimant celles qui ne vous paraissent pas légitimes. Il faut être également vigilant à la réception d’un SMS un peu louche avec un lien, je pense notamment aux arnaques liées au CPF.

En appliquant ces différents conseils de base, vous pourrez améliorer la sécurité de votre smartphone !

The post Malware Android : Escobar, la nouvelle terreur ! Comment se protéger ? first appeared on IT-Connect.

Des hackers s'appuient sur le gestionnaire de paquets Chocolatey pour installer le malware "Serpent" sur les systèmes de certaines entreprises, dont des organisations françaises dans le domaine de la construction et de l'industrie.

Pour rappel, Chocolatey est une solution très populaire qui permet d'installer des logiciels en ligne de commande sur une machine Windows. Plusieurs milliers d'applications, et notamment les plus populaires, sont disponibles dans les dépôts officiels de Chocolatey.

La société Proofpoint a fait la découverte de cette nouvelle campagne d'attaques qui s'appuie sur plusieurs éléments : un document Word en français avec une macro, le gestionnaire de paquets Chocolatey et la stéganographie (l'art de dissimuler une information dans une image). Grâce à cette méthode, le malware parvient à passer entre les mailles du filet et à ne pas être détecté par l'antivirus, tel un serpent...

Tout d'abord, l'attaque commence par une campagne de phishing en lien avec le RGPD. Cet e-mail intègre un document Word qui lui-même intègre une macro malveillante. Si vous ouvrez le document et que vous activez le contenu, le code malveillant télécharge une image surprenante : Chipeur le renard, du dessin animé Dora l'Exploratrice (je ne pensais pas parler de Dora l'Exploratrice dans l'un des mes articles un jour !). Cela me fait penser à une célèbre réplique : "Chipeur arrête de chiper".

Cette image peut faire sourire au premier abord, mais en fait elle renferme un script PowerShell invisible puisque la méthode de la stéganographie est utilisée. La macro du document est chargée d'exécuter le script. Ce dernier va télécharger et installer le gestionnaire de paquets Chocolatey sur la machine locale, dans le but d'installer ensuite deux paquets : Python et PIP. Puisque Chocolatey est bien souvent utilisé par les services informatiques, il y a des chances pour qu'il soit autorisé à réaliser l'installation de ces deux paquets. De son côté, Proofpoint précise que c'est la première fois qu'ils observent l'utilisation de Chocolatey dans le cadre d'une campagne d'attaques.

Le malware Serpent a besoin de Python pour fonctionner, d'où l'installation des paquets précédents. Le logiciel en lui-même est également chargé au travers d'une image basée sur de la stéganographie. Dès lors qu'il est en place, Serpent va communiquer avec le serveur Command & Control des attaquants, en attente de commandes à exécuter sur la machine infectée. Proofpoint précise que la porte dérobée permet d'autoriser tout type de commandes donc les attaquants peuvent prendre le contrôle total de la machine.

Le rapport de Proofpoint précise que les e-mails de la campagne de phishing sont envoyés avec ces adresses e-mail (et surement d'autres !) :

• jeanne.vrakele@gmail[.]com
• jean.dupontel@protonmail[.]com
• no-reply@dgfip-nanterre[.]com

Le sujet de l'e-mail peut être "Candidature - Jeanne Vrakele", par exemple. Quant aux serveurs C2, voici les adresses :

• http://ggfwk7yj5hus3ujdls5bjza4apkpfw5bjqbq4j6rixlogylr5x67dmid[.]onion[.]pet/index[.]html
• http://mhocujuh3h6fek7k4efpxo5teyigezqkpixkbvc2mzaaprmusze6icqd[.]onion[.]pet/index[.]html

Faites passer le mot !

Source

The post Le malware « Serpent » s’attaque à la France en exploitant la stéganographie et Chocolatey first appeared on IT-Connect.

Des pirates informatiques ont pu accéder aux comptes "Amelipro" d'une dizaine de professionnels de santé, et ainsi avoir accès aux données de plus de 500 000 patients au total ! Faisons le point.

Le 17 mars dernier, l'Assurance Maladie a publié un communiqué de presse sur son site Internet avec le titre "Connexion de personnes non autorisées à des comptes amelipro". Même si, visiblement, le site Ameli n'a été piraté directement, il s'avère que les pirates ont pu piéger 19 professionnels de santé afin d'accéder à leur compte Amelipro. Grâce à ces connexions malveillantes, les pirates ont pu récupérer les informations des patients. Dans son communiqué de presse, l'Assurance Maladie précise : "en l'état des investigations, qui se poursuivent, 510 000 assurés sont concernés par cette fuite de données. Ceux-ci seront informés individuellement de cet incident et sensibilisés au risque accru de hameçonnage dont ils pourraient faire l’objet."

Puisque le portail Amelipro permet aux professionnels de santé de gérer leur activité, il donne forcément accès à des informations personnelles sur les patients. Toujours d'après le communiqué de l'Assurance Maladie, la fuite de données contient de nombreuses informations personnelles dont : nom, prénom, date de naissance, sexe, numéro de sécurité sociale, les coordonnées de contact (email, adresse, téléphone) et les coordonnées bancaires ! Cela concerne aussi des informations plus précises relatives aux droits de la personne, mais aussi ses éventuelles pathologies et maladies.

Il faut retenir que les pirates ont pu accéder à ces informations suite à des erreurs humaines, et non pas suite à un piratage du site Ameli en lui-même. Même si ce n'est pas précisé, on peut imaginer que les professionnels de santé sont tombés dans le piège du phishing ! Ce n'est pas précisé non plus, mais on peut imaginer que "ces professionnels de santé" correspondent à des cabinets ou établissements avec plusieurs professionnels associés afin d'atteindre ce total de 510 000 patients.

Malheureusement, maintenant que les données sont dans la nature, il n'y a pas grand-chose à faire... C'est plutôt à l'Assurance Maladie de renforcer l'accès aux comptes Amelipro afin d'éviter que ce type d'incidents se reproduise.

Voici le lien vers le communiqué de presse.

The post Fuite de données Assurance Maladie : plus de 500 000 personnes concernées ! first appeared on IT-Connect.

Le chercheur en sécurité ukrainien auteur du compte @ContiLeaks a publié une nouvelle version du code source du ransomware Conti, plus récente que la première version mise en ligne.

Pour rappel, suite au conflit entre l'Ukraine et la Russie, le groupe de hackers Conti a montré son soutien à la Russie (avant de s'annoncer comme étant apolitique). Cela n'a pas plus à l'un des membres puisqu'il est ukrainien ! Il a pris la décision de publier sur Internet l'historique des conversations internes des cybercriminels du groupe Conti (avec plusieurs dizaines de milliers de messages), mais aussi, dans un second temps : le code source du ransomware Conti.

Bien qu'il soit intéressant, notamment pour les entreprises spécialisées dans la cybersécurité, le premier code source qu'il a publié datait du 15 septembre 2020. On peut légitimement penser qu'il ne s'agissait pas de la dernière version du ransomware Conti.

Toujours par l'intermédiaire du compte @ContiLeaks, une version plus récente du code source a été mise en ligne ! Cette fois-ci, cette archive ZIP estampillé "Conti version 3" semble correspondre à une version du 25 janvier 2021, si l'on se réfère aux dates de modification des fichiers. L'archive ZIP est protégée par mot de passe, mais ce dernier peut être facilement obtenu.

source conti v3. https://t.co/1dcvWYpsp7

— conti leaks (@ContiLeaks) March 20, 2022

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

D'après le site Bleeping Computer, ce code source est compilable sans problème et ne retourne aucune erreur. Il permet d'obtenir la bibliothèque cryptor_dll.dll, l'outil de chiffrement "cryptor.exe" ainsi que l'outil de déchiffrement "decryptor.exe".

Au-delà de permettre aux entreprises et aux experts d'analyser le code source, cela peut permettre aussi à d'autres groupes de hackers de l'analyser, de s'en inspirer, voire même de le réutiliser.

Par la suite, il faut s'attendre à ce que d'autres campagnes d'attaques soient lancées grâce à des ransomwares basés sur les travaux de Conti. C'est ce qu'il s'est déjà passé avec d'autres ransomwares comme Hidden Tear mais aussi Babuk, où des variantes ont vu le jour.

Source

The post Un code source plus récent du ransomware Conti a fuité ! first appeared on IT-Connect.