Cet article fait partie de notre guide: Ransomware : ce que vous apprennent les négociations

Ransomware : les Conti à couteaux tirés ?

Le ransomware Conti a été utilisé contre l’éditeur français Solware dans la nuit du 11 au 12 août. Mais un événement surprenant a suivi : 24 h plus tard, les données chiffrées des serveurs de production étaient détruites.

Au début, cela ressemblait à une cyberattaque avec rançongiciel comme les autres. Le 12 août au matin, les équipes de Solware découvraient que les serveurs de l’éditeur avaient été chiffrés avec le rançongiciel Conti. Aujourd’hui, Solware remonte prudemment la pente.

Mais une surprise attendait Gérald Ferraro, président du groupe Solware, le lendemain de la découverte : « le 13 août s’est produit un événement surprenant, pour nous, et j’imagine, pour les attaquants également. Nos données de production, qui avaient été chiffrées ont été supprimées ».

Dès lors, même si une négociation avait pu avoir lieu, il n’y avait aucun intérêt à considérer le paiement d’une rançon qui n’aurait pas aidé à accélérer la reprise de l’activité.

Cet incident est survenu sur fond de tensions au sein de la franchise Conti. Quelques jours plus tôt, un affidé mécontent avait rendu publics des contenus de formation très précis et détaillés pour les nouvelles recrues de la petite entreprise criminelle. La négociation aurait-elle été sabotée délibérément par un affidé ayant accès au système d’information de Solware ?

Un affidé Conti reconnaît ne pas avoir de copies exploitables des données de sa victime.

Pour Allan Liska, de Recorded Future, l’hypothèse n’est pas à exclure : « nous ne pouvons pas en être certains, mais les bénéfices de ces groupes sont si importants que cela crée inévitablement des tensions ». Pour lui, « de la même manière que nous avons vu des cybercriminels voler de l’argent sur des échanges de cryptomonnaies, il serait assez poétique de voir des groupes de ransomware détruits par leur cupidité ».

Quant à voir des opérations de sabotage, il relève qu’Emsisoft a déjà observé des situations où un second groupe vient re-chiffrer les données déjà chiffrées par un premier groupe…

De la même manière, pour Yelisey Boguslavskiy, d’AdvIntel, l’hypothèse d’un sabotage par un affidé Conti mécontent, dans le cas de l’attaque contre Solware, « est effectivement très plausible ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close