Le groupe de ransomware Conti ferme son site vitrine
Le site de Conti ne répond plus : selon plusieurs chercheurs en sécurité, le site Tor utilisé par le groupe cybercriminel Conti a cessé de fonctionner depuis mercredi dernier. Sur ce site, les cybercriminels du groupe annonçaient jusqu’alors leurs nouvelles victimes, généralement infectées par les rançongiciel produits par le groupe, et diffusaient également les données volées par les affiliés du groupe au cours des intrusions. Le site était ainsi utilisé pour forcer la main des victimes, qui se voyaient menacées de diffusion des données s’ils n’acceptaient pas de payer la rançon exigée par Conti.
Actif depuis le début de l’année 2020, bien que certaines versions de son logiciel malveillant ait été detectés en fin d’année 2019, le groupe Conti s’est notamment illustré en s’attaquant au service de santé irlandais et en paralysant ses systèmes. Parmi ses autres faits d’armes, le groupe revendiquait également en France le piratage de la société Assu2000 et plus de 800 victimes à travers le monde sur son site. Le nombre exact de victimes de Conti serait néanmoins plus élevé, les victimes affichées sur le site étant principalement celles ayant refusé de payer les rançons exigées par le groupe. Conti fonctionne sur le mode du ransomware as a service : le groupe loue son logiciel à d’autres groupes cybercriminels, et s’arrangent ensuite pour partager les rançons extorquées.
Malgré cette apparente hyperactivité, le groupe Conti connaît depuis le début de l’année 2022 un tournant dans sa stratégie. L’organisation s’était ainsi affichée clairement en faveur de l’invasion russe de l’Ukraine, une prise de position qui lui avait valu l’ire d’un chercheur en sécurité. Ce dernier a publié au début du mois de février une importante archive contenant des communications internes au groupe, dévoilant le fonctionnement bien rodé de l’organisation et ses liens avec d’autres groupes cybercriminels.
Au mois de mai, selon des informations obtenues par la société de cybersécurité AdvIntel, les dirigeants du groupe avaient annoncé la fin de la « marque » Conti, et avaient invité les membres du groupe à rejoindre plusieurs autres organisations cybercriminelles proches. Une manière de faire oublier l’entité Conti, devenue trop visible, et d’essaimer au sein d’un nouvel écosystème cybercriminel tout en conservant les liens entre les membres de l’organisation. Selon les chercheurs d’AdvIntel, la fin d’activité de Conti n’est donc qu’une manœuvre visant à s’éviter un démantèlement par les forces de l’ordre comme celui ayant frappé le groupe Revil/Sodinokibi en février 2022. La fermeture du site vitrine utilisé par Conti n’est donc que la dernière pierre de cette stratégie.
