Ransomware : Pourquoi il ne faut pas se réjouir de la fin annoncée de Conti
Des chercheurs en cybermenaces estiment que le rançongiciel Conti est en train de fermer ses portes, une opération qui dissimulerait toutefois le lancement de nouveaux services criminels.
Gabriel Thierry
Mis à jour
25 mai 2022
La franchise mafieuse Conti est-elle en train de baisser le rideau? Selon Advintel, une société new-yorkaise spécialisée dans le renseignement sur la cybercriminalité russophone, Conti a fermé il y a quelques jours ses services d’administration, d’hébergement de données volées et de négociation. Un démantèlement également observé par la firme Recorded Future. Même si son blog où le gang menace ses victimes est toujours actif, avec un tableau de chasse remis à jour, pour ces chercheurs en cybermenaces la fin de la marque Conti a bien été programmée.
Repéré en mai 2020, Conti est un rançongiciel particulièrement rapide qui fonctionne sur le modèle de la franchise. Des affidés peuvent louer contre une rémunération l’accès au programme. Et ils ne se font pas prier. Après un chiffre d'affaires criminel évalué à au moins 20 millions de dollars en 2020, Conti aurait été le logiciel malveillant de ce type le plus actif en 2021, avec au moins 180 millions de dollars extorqués, selon le cabinet spécialisé dans les investigations sur la blockchain Chainalysis.
Ciblant des organisations en Amérique du nord ou en Europe, il avait par exemple visé le service de santé irlandais en mai 2021, l’une des 1000 victimes recensées par le FBI.
Des cybercriminels à la tête d’un magot considérable
Mais même si elle se confirme, cette fin des activités de Conti n’est pas vraiment une bonne nouvelle. Car elle ne sera pas synonyme d’un arrêt de l’entreprise criminelle. Pourquoi les développeurs de ce logiciel malveillants s’arrêteraient en effet là ? Ce n’est d’ailleurs pas leur premier coup d’éclat. Les autorités soupçonnent en effet un groupe particulièrement dynamique, Wizard Spider, d’être derrière ce rançongiciel.
Ce groupe de hackers russophones est ainsi suspecté d’avoir lancé en quelques années plusieurs très dangereux malwares, du botnet TrickBot au rançongiciel Ruyk en passant par le cheval de Troie BazarLoader. Selon Prodaft, une société spécialisée dans les menaces cyber, le gang serait sans doute l’un des plus riches actuellement en activité, avec un magot “aisément supérieur à des centaines de millions de dollars”. Son “extraordinaire rentabilité permet à ses dirigeants d'investir” dans la recherche et développement, résume l’entreprise dans un récent rapport.
Pour ce gang, même si sa marque Conti a été très lucrative, elle a sans doute fait son temps. Pour Yelisey Bogusalvskiy et Vitali Kremez, les dirigeants d’Advintel, elle est sans doute devenue trop sulfureuse, analysent-ils. “Le but de ces cybercriminels n’est pas de développer une marque, mais de faire de l’argent”, rappelle à l’Usine digitale Nicolas Arpagian, directeur de la stratégie en cybersécurité de Trend Micro. La franchise Conti a connu en effet un début d’année mouvementé avec l’invasion russe en Ukraine. Après s’être positionnés en soutien de la Russie, les cybercriminels ont en effet été victimes d’une série de fuites qui ont dévoilé les coulisses de l’organisation du rançongiciel et une partie de leur cyberarsenal.
Deux primes offertes par le département d’Etat
Ce soutien rend peut-être encore plus compliqué le paiement des rançons suite aux nouvelles sanctions financières visant la Fédération de Russie, observe Computer weekly. Last but not least, le département d’Etat américain vient d’offrir 15 millions de dollars de récompense à travers deux primes pour avoir des tuyaux sur le groupe criminel. Autant d’éléments qui expliquent le sabordage de la marque.
Mais avant, les opérateurs de Conti avaient toutefois besoin d’un dernier coup d’éclat pour masquer leurs intentions, selon Advintel. Ce serait le rôle de la tonitruante attaque en cours contre le Costa Rica, ciblé par la franchise mafieuse. "Un pays qui a basculé en état d’urgence suite à une attaque par rançongiciel, c’est une première", commente auprès de l’Usine digitale Loïc Guézo, le secrétaire général du Clusif.
En coulisses, le gang a pendant ce temps opéré un éclatement stratégique de son activité vers une série de nouveaux outils malveillants, comme KaraKurt, BlackByte ou encore BlackBasta. Mais comme le rappelle Allan Liska, un des experts de Recorded Future, même si le gang affirme "se diviser en groupes plus petits complètement indépendants", "ce n'est pas parce qu'ils le disent que c'est vrai”. “Avec des outils performants, ils pourront repartir de zéro sans avoir besoin de capitaliser sous leur ancien nom", analyse également Nicolas Arpagian. Quelque soit leur nom, on n’en a donc pas encore fini avec les hackers de Conti.
SUR LE MÊME SUJET
Ransomware : Pourquoi il ne faut pas se réjouir de la fin annoncée de Conti
Tous les champs sont obligatoires
0Commentaire
Réagir