Conti : se diviser pour mieux régner
Depuis la diffusion sur internet des données internes du groupe Conti par un chercheur en sécurité ukrainien, de nombreux observateurs s’attendaient à ce que le groupe ne se remette pas de ce revers. Pourtant, l’activité a en apparence continué : au cours des dernières semaines, le site web de Conti a ajouté de nouvelles victimes à son tableau de chasse, laissant entendre que le groupe n’était absolument pas perturbé par la publication de ses échanges internes. Nouvelle preuve de sa bonne santé, le groupe Conti a décidé de s’attaquer aux institutions gouvernementales du Costa Rica dans le courant du mois d’avril, menaçant de dévoiler plus de 600 Go de données volées si le gouvernement ne s’acquittait pas d’une rançon. Le gouvernement ayant refusé de payer, Conti a mis sa menace à exécution au début du mois de mai, tout en promettant de nouvelles attaques contre le pays.
C’est à croire que personne n’est en mesure d’arrêter Conti : le gouvernement américain a également proposé une prime de dix millions de dollars pour toute information permettant l’identification et l’arrestation des membres du groupe. Le Costa Rica a de son côté déclaré l’état d’urgence afin de faire face aux attaques menées par le groupe.
Pourtant, selon AdvIntel, toute cette déferlante d’activité ne serait que de la poudre aux yeux, un plan orchestré par les administrateurs du groupe cybercriminel pour organiser la fin d’une « marque » de ransomware devenue un peu trop « toxique » et pas assez rémunératrice. Dans un post de blog publié la semaine dernière, les chercheurs de la société AdvIntel détaillent leur interprétation des faits, soutenue par des renseignements obtenus sur le fonctionnement interne du groupe cybercriminel.
Conti fait diversion
Selon les chercheurs, la mise au ban de Conti commence avec leur publication d’un message de soutien à la Russie, au lendemain de l’invasion de l’Ukraine par les forces russes. Cette prise de position, qui motivera notamment un chercheur ukrainien à dévoiler en ligne plusieurs archives contenant les échanges des discussions des membres du groupe Conti, attire sur le groupe une attention incompatible avec les affaires. « Depuis février 2022, presque aucun paiement n’a été versé au groupe, tandis que le logiciel de blocage de Conti est devenu hautement détectable et a été rarement déployé » expliquent les chercheurs d’AdvIntel.
De fait, l’association de Conti avec la Russie, actuellement visée par de nombreuses sanctions internationales, et la publication d’une prime par les autorités américaines complique le paiement des rançons en direction du groupe par les victimes basées aux États unis. Le gouvernement américain avait en effet rappelé en 2020 que le paiement de rançon en direction de groupes cybercriminels pouvait exposer les victimes à des sanctions de la part de l’administration américaine dans certains cas. Les chercheurs d’AdvIntel ont également constaté que le 19mai, l’interface d’administration du site Tor de Conti a été déconnectée, tout comme les outils utilisés pour négocier avec les victimes du groupe cybercriminel. Seul le site « vitrine » reste en ligne, mais celui n’est plus qu’une coquille vide.
Restructuration entre amis
L’apparente activité de Conti vise avant tout à donner le change, afin de laisser le temps à de nouvelles entités crées par d’anciens membres du groupe de prendre leurs marques et de s’implanter dans l’écosystème : AdvIntel cite ainsi l’émergence de trois groupes spécialisés dans le vol de données, Karakurt, BlackBasta et Blackbyte, des groupes autonomes formés par d’anciens membres de Conti.De la même manière, AdvIntel estime que de nombreux affiliés de Conti ont noué des alliances avec d’autres groupes de ransomware afin de continuer leurs activités, tout en conservant leurs liens avec le reste du groupe.
« Conti adopte une structure organisationnelle en réseau, plus horizontale et décentralisée que la hiérarchie rigide établie par le groupe Conti jusqu’alors. Cette structure sera une coalition de plusieurs subdivisions égales, dont certaines seront indépendantes, et certaines existant au sein d’un autre collectif de rançongiciels » écrivent les chercheurs d’AdvIntel.
