Recevez chaque jour toute l'actualité du numérique

x

Après s’être positionné en soutien de la Russie, le gang de rançongiciel Conti victime d’une sévère fuite

Hack of the week De nombreuses correspondances internes à Conti, l’une des principales franchises mafieuses du rançongiciel, ont été divulguées suite à la prise de position du groupe criminel en faveur de l'invasion russe de l'Ukraine.
Twitter Facebook Linkedin Flipboard Email
×

Après s’être positionné en soutien de la Russie, le gang de rançongiciel Conti victime d’une sévère fuite
Après s’être positionné en soutien de la Russie, le gang de rançongiciel Conti victime d’une sévère fuite © Unsplash

C’est une conséquence inattendue du conflit militaire entre la Russie et l’Ukraine. La correspondance sur une messagerie Jabber de membres du gang de rançongiciels Conti vient de fuiter. Soit en tout plus de 60 000 messages, étalés de janvier 2021 à février 2022, selon The Bleeping Computer. Un piratage qui a des airs d’arroseur arrosé, ces cybercriminels étant en effet d’habitude les auteurs de fuites de données visant des victimes ayant refusé de payer une rançon.

C’est, selon différentes déclarations, un chercheur en cybersécurité ukrainien, infiltré dans le gang de cybercriminels, qui serait à l'origine de cette fuite. Une affirmation à considérer avec prudence mais qui serait logique. En fin de semaine dernière, Conti, le gang de rançonneurs le plus actif en 2021 avec un chiffre d’affaires d’au moins 160 millions d’euros selon le cabinet de conseil Chainalysis, avait annoncé son plein soutien au gouvernement russe, une annonce qui aurait donc fortement déplu.

Mine d’or
Quelque soit les motivations de la personne à l’origine de la fuite, celle-ci est une mine d’or pour les professionnels de la cybersécurité et les enquêteurs spécialisés dans la lutte contre la cybercriminalité. Ainsi, la fuite aurait permis d’identifier 239 adresses bitcoins représentant 11,6 millions d’euros de paiements. Autant d’informations qui permettront de mieux retracer les flux financiers, et peut-être d’identifier des personnes impliquées dans le blanchiment des fonds. De même, des adresses IP ont été dévoilées, ainsi que des serveurs informatiques utilisés par le groupe, deux types d’indices précieux.

Au fil des échanges entre les participants du chat, par exemple “Mango”, “Stern”, ou “Chip”, les enquêteurs vont également pouvoir se familiariser avec les coulisses de l’entreprise criminelle. En tout, près de 341 membres auraient échangé sur le chat Jabber, dont une cinquantaine de membres plus actifs, avec par exemple une personne en charge de la formation des affidés, signale le hacker éthique Clément Domingo, qui a analysé les conversations ayant fuité.

Rançons et cibles
On y retrouve également des échanges à propos de rançons et des cibles visées, connues, comme la marque Chantelle, touchée par le rançongiciel en décembre, ou non. Mais également des interrogations sur l’achat de licences d’outils de cybersécurité, sans doute à des fins de rétro-ingénierie, ou encore des discussions techniques à propos de chaînes de blocs et des crypto-monnaies.

On commence enfin à discerner les liens entre les membres et sa structure, comme avec cet échangé relevé par Vitali Kremez, le  P-DG d’Advintel, spécialisée dans la surveillance de la cybercriminalité russophone. Des membres du gang s’interrogent ainsi au printemps 2021 sur le soutien juridique à apporter à Alla Witte, accusée d’avoir joué un rôle actif dans la diffusion du logiciel malveillant Trickbot.

Certes, il est probable que le groupe criminel a déjà commencé à effacer ses traces, dès l’annonce de la fuite de données. Mais, comme le relève Clément Domingo, le groupe va devoir faire face à une crise de confiance, cette affaire prouvant que “son infrastructure était surveillée depuis longtemps”. Une crise qui a un air de déjà vu. Cet été, la franchise mafieuse avait connu une première fuite avec la divulgation de documents internes, des sortes de tutoriels exposant ses méthodes au grand jour. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.