Conti, un gang très actif, vient d’être victime d’une nouvelle fuite de données. On vous explique les conséquences de ce piratage qui bouleverse la sphère des cybercriminels.

Pourquoi Conti est-il en train d’exploser en plein vol ?

Cela maintenant près d’une semaine que les premières fuites de données visant Conti, un gang mafieux spécialisé dans le rançongiciel, ces logiciels malveillants qui chiffrent vos données pour vous extorquer une rançon, ont débuté. Et le flot de révélations ne se tarit pas. Voici d’ailleurs une frise chronologique pour vous y retrouver. 

La publication de 60 000 messages internes sur la messagerie sécurisée Jabber a été suivie par la divulgation de captures d’écran de cibles ou du code source de leurs outils malveillants. La preuve que le hacker a réussi à conserver un accès, même après avoir dévoilé son infiltration.

C’est un coup dur pour les cybercriminels de Conti, qui en sont réduits à détruire leur infrastructure. Cela montre à nouveau leurs vulnérabilités. Il y a quelques mois, l’entreprise de cybersécurité Prodaft avait déjà dévoilé leurs coulisses. Plusieurs options s’offrent désormais au gang. Soit réussir à sécuriser son infrastructure interne pour relancer ses opérations, soit lancer une nouvelle franchise mafieuse distincte pour repartir de zéro. 

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Qui est à l’origine de la fuite de données ?

Ces informations internes ont été dévoilées par un compte Twitter, ContiLeaks. Sa bio est éloquente : « Fuck ru gov », une référence hostile au Kremlin, ce qui a d’abord fait penser à un affidé revanchard. Toutefois, le piratage serait finalement l’œuvre d’un chercheur ukrainien en sécurité. Selon Alex Holden, le fondateur de la société de cybersécurité américaine Hold Security, ce chercheur a réussi à infiltrer le gang.

C’est la prise de position des cybercriminels en faveur de l’invasion russe en Ukraine qui a servi de détonateur. Comme le rappelle The Record, Conti a d’abord publié en fin de semaine dernière un message de soutien au gouvernement russe très agressif, avant de nuancer quelques heures plus tard sa position. Une illustration des tensions qui peuvent déchirer la sphère cybercriminelle russophone, qui compte dans ses rangs des Russes, mais également des Ukrainiens. 

Qui est derrière le gang de Conti ?

Ce rançongiciel, repéré notamment par l’Anssi, l’agence française dédiée à la cyberdéfense de l’État et des opérateurs d’importance vitale, est apparu en décembre 2019. Mais il n’avait vraiment été actif que plusieurs mois plus tard. L’agence de cybersécurité avait remarqué des similitudes dans le mode opératoire — l’utilisation du malware TrickBot, visé par le commandement cyber américain — dans le code et les messages de demande de rançon, suggérant des liens avec un autre rançongiciel, Ryuk. 

La société de cybersécurité Crowdstrike avait été plus catégorique en liant le gang au groupe russe de cybercrime Wizard Spider. Toujours est-il que Conti a rapidement gagné la réputation d’une franchise sans vergogne. Ses affidés, ceux qui louent le logiciel malveillant, n’hésitaient ainsi pas à s’attaquer à des cibles à l’activité particulièrement critique, comme le système de santé de l’Irlande, en mai 2021. En France, ils avaient ciblé la filiale commerciale de l’Inserm

Extrait d'une fuite liée à Conti
Extrait d’une fuite liée à Conti. // Source : S. A. X. X.

Conti pratique enfin la double extorsion. Le gang menace de publier les données volées en cas de non-paiement de la rançon. Il avait par exemple demandé 7 millions de dollars à JVC-Kenwood, une entreprise japonaise spécialisée dans les produits électroniques. Une activité très lucrative: selon le cabinet spécialisé Chainalysis, Conti a été le gang de rançongiciels numéro 1, en 2021, en termes de rançons extorquées, avec au moins 180 millions de dollars volés. 

Une somme visiblement bien en deçà des activités du groupe. Une première analyse des flux financiers ayant circulé entre 2017 et aujourd’hui sur les portefeuilles bitcoins dévoilés par la fuite des données aboutissent au nombre chiffre ahurissant d’environ 65 500 bitcoins, l’équivalent de 2,8 milliards de dollars. 

https://twitter.com/MalwareTechBlog/status/1498616107875246086

Ce qu’on a appris sur leur organisation

Il reste encore bien des choses à apprendre sur le gang Conti au vu de l’ampleur de la fuite de données. Toutefois, cette compromission permet de mieux comprendre le mode opératoire du gang, comme les failles et les méthodes utilisées pour nuire à leurs cibles.

Des messages suggèrent ainsi que le gang était intéressé par des cibles ayant pris une assurance cyber. Un point pouvant être apprécié comme un facteur susceptible d’augmenter la probabilité de réussir l’extorsion. Enfin, une série de messages à propos du piratage d’une personne de Bellingcat, le média spécialisé dans l’investigation en sources ouvertes, interroge sur l’existence de liens avec le service fédéral de sécurité russe, le FSB.

Source : Unsplash / Montage Numerama
Des indications dans la compromission de Conti suggèrent une proximité avec un service fédéral de sécurité russe. // Source : Unsplash / Montage Numerama

Véritable PME du cybercrime, l’un des membres précise en juillet 2021 que Conti emploie 62 personnes. Ce sont des développeurs, des gestionnaires de réseaux ou encore des spécialistes de l’intrusion. Différents rôles que l’on devine à travers les messages des uns et des autres. Si les activités criminelles ont visiblement été très lucratives, des conversations suggèrent cependant que la paye allouée à ces employés n’était pas si attractive. Alors que les tâches étaient parfois très répétitives, la solde était de l’ordre d’un à deux milliers de dollars par mois, selon le journaliste Brian Krebs.

Pourquoi cela va-t-il servir aux services d’investigation ?

Pour les services d’enquête qui travaillent sur le rançongiciel Conti, la moisson de données est particulièrement intéressante. Les portefeuilles de bitcoins devraient leur permettre d’avancer dans leurs investigations. La piste de l’argent est en effet une voie très pertinente dans ce type d’enquête très complexe. 

Outre la divulgation de l’identité d’un ingénieur russe, le profil d’intermédiaires douteux devrait enfin intéresser des enquêteurs. Comme ce prétendu journaliste qui proposait une aide pour intimider des cibles contre une commission de 5 % sur les rançons. Autre exemple, cette personne qui assure être un négociateur pour des entreprises et institutions françaises et qui suggère de travailler ensemble pour « gagner du temps et de l’argent. »

Il faudra sans doute des années avant de pouvoir faire un bilan de la fuite de données, Reste qu’avec ce dévoilement des coulisses de Conti, les rôles entre chasseurs et chassés viennent de s’inverser.

Pour aller plus loin
Film La Rançon (1996). // Source : Capture d'écran YouTube John Maverick
Ransomware : pourquoi les gangs ne sont pas près de s’arrêter

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !