Ransomware : les groupes cybercriminels ont aussi droit aux fuites de données

Ransomware : les groupes cybercriminels ont aussi droit aux fuites de données

Les fuites de données vont parfois dans les deux sens : le groupe de ransomware Conti, un des groupes les plus actifs de l’écosystème, a fait les frais d’une négociation mal gérée avec l’un de ses affidés. Un des partenaires du groupe, visiblement mécontent de la part que lui réservaient les opérateurs à la tête du groupe, a diffusé sur un forum plusieurs documents et guides utilisés par le groupe Conti pour former ses nouveaux membres.

Selon The Record, qui a pu accéder aux documents, la fuite a été partagée sur le forum spécialisé dans la cybercriminalité XSS la semaine dernière. Celle-ci comptait à la fois des impressions d’écran indiquant les adresses IP de plusieurs serveurs utilisés par le groupe Conti pour héberger ses serveurs de commande pour ses outils Cobalt Strike et une archive, intitulée « Мануали для работяг и софт.rar », ce qui se traduit par « Manuel du travailleur et des logiciels ».

publicité

Un conflit RH chez un groupe de ransomware

Dans cette archive se trouvait 37 documents textes donnant des indications pour l’utilisation de plusieurs outils employés par les membres du groupe Conti : Cobalt Strike, un outil de test d’intrusion fréquemment utilisé par les cybercriminels, Metasploit, Anydesk, ainsi que des tutoriels visant à expliquer l’utilisation de failles telles que Zerologon ou des méthodes visant à faciliter les déplacements latéraux au sein des systèmes informatiques infectés.

Si la fuite ne révèle rien de fondamentalement nouveau, elle permet de mettre en lumière le fonctionnement de ces groupes « Ransomware as a service », constitué d’un nombre réduit d’opérateurs à la tête du programme, qui se chargent des négociations et de la récupération de la rançon, et d’un grand nombre « d’affidés », qui se chargent de compromettre le système informatique des victimes ou de mettre en œuvre les étapes préliminaires à la détonation du ransomware fourni par le groupe. Les rançons sont ensuite divisées entre les différents membres du groupe selon le rôle de chacun : selon Bleeping Computer, les opérateurs à la tête du groupe se réservent habituellement 20 à 30 % des rançons et reversent le reste de la somme aux affidés impliqués dans la compromission du système informatique de la victime.

Dans ce cas de figure, le membre mécontent affirme avoir reçu « seulement » 1500 dollars suite à un paiement de rançon, ce qui aurait selon lui motivé sa décision de diffuser les documents. Une source anonyme citée par Bleeping Computer avance une autre théorie : le cybercriminel à l’origine de la fuite de données aurait été banni par les opérateurs de Conti après avoir été pris en train de promouvoir un ransomware concurrent.

Leave a Reply

Your email address will not be published. Required fields are marked *