Voici le salaire moyen d’un membre du groupe Conti
En moyenne, un membre du groupe de ransomware Conti gagne un salaire de 1 800 dollars par mois. Un nombre plutôt faible, au vu du succès du groupe cybercriminel.
Mercredi, Secureworks a publié ses conclusions, basées sur les discussions internes du groupe qui ont fait l’objet d’une fuite au début du mois et sur lesquels les chercheurs en cybersécurité se penchent depuis lors.
Rançon moyenne de 750 000 dollars exigée
Ces échanges ont été mis en ligne après que Conti, identifié sous le nom de Gold Ulrick par Secureworks, a déclaré son soutien public à l’invasion de l’Ukraine par la Russie, un conflit qui se poursuit actuellement.
Conti est un groupe de ransomware prolifique, soupçonné d’être d’origine russe, qui a fait des centaines de victimes dans le monde. Le groupe s’infiltre dans les réseaux d’entreprise, que ce soit par ses propres moyens ou par l’achat d’un accès initial sur des forums clandestins, vole des données, chiffre les réseaux et demande ensuite une rançon. Les victimes qui refusent de payer peuvent voir leurs informations divulguées en ligne.
Les rançons moyennes exigées par Conti sont d’environ 750 000 dollars, mais selon la taille et le chiffre d’affaires annuel de la victime, le montant peut être beaucoup plus élevé, atteignant parfois des millions de dollars.
Un quotidien banal
Les chercheurs de Check Point ont déjà parcouru les échanges de Conti et mis en évidence un quotidien plutôt banal, comparable à celui d’une entreprise de développement de logiciels typique.
On retrouve ainsi une organisation proposant de choisir entre télétravail, travail hybride ou au bureau, des évaluations de performance, des primes et un processus d’embauche pour les codeurs, les testeurs, les administrateurs système et les ressources humaines.
Si les nouveaux membres passent un entretien, tous ne sont pas informés qu’ils postulent pour travailler avec une organisation criminelle, comme l’ont révélé certains messages “d’employés”. Cependant, lorsque la vérité éclate, ils peuvent se voir proposer des salaires bien plus élevés que la moyenne locale pour rester.
Un salaire attrayant
Selon l’analyse des journaux par Secureworks, contenant 160 000 messages échangés entre près de 500 individus entre janvier 2020 et mars 2022, 81 personnes étaient impliquées au sein du groupe, avec un salaire moyen de 1 800 dollars par mois.
Le chef de groupe Stern résume les montants des salaires versés (traduction depuis le russe). Image : Secureworks.
On estime que le ménage russe moyen gagne 540 dollars par mois. Le “salaire” offert par les groupes cybercriminels pourrait donc constituer un attrait important – même si les opérateurs principaux s’approprient probablement une part beaucoup plus importante du gâteau. De plus, la chute de la valeur du rouble, due aux sanctions internationales, pourrait inciter d’autres personnes à entrer sur ce marché.
Des groupes cybercriminels interconnectés
En outre, Secureworks a découvert des fuites entre le « chef désigné » de Conti, surnommé “Stern”, et d’autres groupes cybercriminels. Stern prend « des décisions organisationnelles clés, distribue les salaires, gère les crises et interagit avec d’autres groupes malveillants ». Les analystes soupçonnent qu’il occupe également une position de leader au sein du groupe Gold Ulrick (Trickbot/BazarLoader).
Secureworks a également trouvé des connexions avec les groupes cybercriminels Gold Crestwood (Emotet), Gold Mystic (LockBit) et Gold Swathmore (IcedID), bien qu’il puisse s’agir uniquement de communications et/ou de collaborations.
« Les chats révèlent un écosystème cybercriminel mature composé de groupes cybercriminels faisant preuve de collaboration et de soutien mutuel », indiquent les chercheurs. « Les membres de groupes que l’on croyait auparavant distincts collaborent et communiquent fréquemment avec les membres d’autres groupes malveillants. Cette interconnectivité montre les motivations et les relations de ces groupes. Elle met en évidence leur ingéniosité et leur capacité à tirer parti d’une expertise en la matière au sein des groupes. »
Le 20 mars, un chercheur anonyme – qui viendrait d’Ukraine – a également publié une version récente du code source du ransomware de Conti. Le code a été uploadé sur VirusTotal à l’intention des équipes de défense de la cybersécurité, mais il pourrait également être adapté pour être utilisé par des acteurs malveillants.
Source : ZDNet.com
