Ransomware : Comment les hackers de Conti ont essaimé dans de nouveaux groupes
Près d’un an après la disparition de la franchise criminelle Conti, les spécialistes de la sécurité informatique traquent les nouvelles affiliations des opérateurs du gang de cybercriminels.
C’était leur dernier coup d’éclat avant le baisser de rideau. Comme le soupçonnaient par exemple les experts d’Advintel, une entreprise spécialisée dans le renseignement sur les cybermenaces, l’attaque informatique contre le Costa Rica menée il y a un an par Conti avait tout d’un sinistre chant du cygne.
La cyberattaque, étalée sur plusieurs mois, avait débouché sur une demande de rançon de 20 millions de dollars et un appel culotté au renversement du gouvernement de ce petit pays d'Amérique centrale. Puis peu après cette dramatique attaque informatique, qui s’est soldée récemment par une aide de 25 millions de dollars des Etats-Unis pour le renforcement des infrastructures numériques du pays, Conti et son site vitrine avaient disparu.
Mais les experts de la sécurité informatique étaient toutefois très dubitatifs quant à un improbable départ à la retraite des opérateurs de Conti. Au contraire, il semblait clair que les membres du gang de rançongiciel numéro un en 2021 aspiraient d’abord à repartir d’une page blanche. Quelques mois plus tôt, leurs activités criminelles avaient été étalées sur la place publique après la rocambolesque fuite de données interne ayant suivi le positionnement de la franchise en faveur de l'invasion russe de l'Ukraine.
Un déballage de linge sale suivi cet été par le lancement d’une gênante récompense de 10 millions de dollars offerte par le gouvernement américain pour toute info sur “Target”, “Reshaev”, “Professor”, “Tramp” et “Dandis”. Soit cinq des hackers du groupe de hackers russophones Wizard Spider, des cybercriminels suspectés également d’être derrière TrickBot, le rançongiciel Ruyk ou encore le cheval de Troie BazarLoader.
PME du cybercrime
Les spécialistes scrutent depuis attentivement les indices suggérant l’implication des cybercriminels de Conti dans d’autres groupes. Le dernier rapport en date sur ce sujet, à la mi-avril, émane des spécialistes d’IBM. Ces derniers estiment ainsi qu’il est probable que d’anciens cybercriminels du gang soient impliqués dans des campagnes malveillantes opérées grâce à une nouvelle famille de logiciels malveillants, baptisée Domino.
Ce genre d’exercice, qui repose notamment sur l’étude des modes opératoires, est délicat. Conti était certes une véritable PME du cybercrime comptant une centaine de collaborateurs aux tâches variées. "Mais par définition, il n’y avait pas de registre du personnel, c’est une nébuleuse que l’on connaît mal", rappelle à L'Usine digitale Nicolas Arpagian, l’auteur du livre "Frontières.com".
La franchise était également ouverte contre un pourcentage des gains à des affiliés, qui ont vraisemblablement poursuivi leurs activités criminelles ailleurs sans forcément conserver un lien avec leurs anciens partenaires. "Ce genre de reconfiguration aura une dimension politique: ceux qui se sont reconnus dans la mouvance russophile ont pu se réacoquiner ensemble", prévient Nicolas Arpagian.
Des liens avec plusieurs groupes
En août dernier, Vitali Kremez avait résumé en une infographie les hypothèses autour de la descendance de Conti. Pour le dirigeant d’Advintel, décédé à l’automne après un accident de plongée, les gangs de cybercriminels BlackBasta, BlackByte, Karakurt, Quantum, Silent Ransom et Zeon avaient ainsi des liens avec d’anciens opérateurs de Conti. Une longue liste qui comprenait également Hive, qui s'était attaqué à Altice, ou encore AvisLocker et HelloKitty, comme le rappelait le site spécialisé Bleeping computer.
"L’utilisation de plusieurs marques a aidé Conti à être plus discrets, ce rebranding a été une très bonne décision pour eux", résume auprès de l’Usine Digitale Yelisey Bohuslavskiy, le directeur de la recherche de l'entreprise de cybersécurité Red Sense. Le gang "fonctionne toujours de manière centralisée, mais avec une structure divisée en plusieurs sous-groupes", ajoute cet ancien d’Advintel.
La filiale Karakurt
Avant de disparaître, les cybercriminels de Conti avaient ironisé sur ce genre de spéculations, en assurant par exemple sur leur site Tor ne pas avoir de lien avec BlackBasta. Pourtant, certaines affiliations semblent clairement établies, comme celles entre Conti et Karakurt, à l’origine une simple filiale du gang focalisée sur la fuite de données. Dans d’autres cas, comme avec Royal, qui s’est attaqué récemment à la mairie de Lille, les suspicions sont fortes.
Certes, il est possible, comme le relevait Trellix, que les développeurs de ce dernier rançongiciel cherchent simplement à s’inspirer de Conti. Mais la société Kroll remarquait également que ce groupe fonctionnant en circuit fermé, sans affiliés, rassemblait vraisemblablement des criminels jusqu’ici associés à Zeon, Conti et au botnet Trickbot. Une combinaison ayant un air de déjà vu…
SUR LE MÊME SUJET
Ransomware : Comment les hackers de Conti ont essaimé dans de nouveaux groupes
Tous les champs sont obligatoires
0Commentaire
Réagir