Conti, du rançongiciel en mode service à la petite entreprise ?

« Bien que Conti soit considéré comme un variant du modèle de ransomware-as-a-service (RaaS), une variation dans sa structure le différencie du modèle d’affidé habituel. Il est probable que les développeurs de Conti versent aux personnes qui déploient le rançongiciel un salaire plutôt qu’un pourcentage du produit utilisé par les cyberacteurs affiliés, et reçoivent une part du produit d’une attaque réussie ». Un fixe, donc, assorti d’une part variable, selon une note d’information conjointe de la CISA, du FBI et de la NSA, publiée le 22 septembre 2021.

Cette spécificité du modèle Conti pourrait expliquer pourquoi certains pirates, a priori intéressés par la franchise, n’y trouvent pas leur compte et s’en plaignent ouvertement. Yelisey Boguslavskiy, d’AdvIntel, observait récemment une telle situation.

Début août, un affidé mécontent a d’ailleurs rendu publics les contenus de formation du groupe. Impressionnants de détails et de précision, ces contenus avaient de quoi permettre même à des « amateurs » de se lancer dans le rançongiciel, selon Cisco Talos.

Surtout, ces documents sont révélateurs de l’effort de formation engagé par les opérateurs de Conti – le groupe Wizard Spider, comme le nomme CrowdStrike, auquel est aussi lié le ransomware Ryuk : de toute évidence, les cybermalfaiteurs ont décidé d’attirer des attaquants moins expérimentés que certains affidés œuvrant dans le domaine de longue date, au profit de profils plus « junior » qu’ils sont prêts à faire monter en compétence.

Pour ceux qui tiennent les rênes de la franchise, cette approche est susceptible d’avoir un effet bénéfique, parfaitement compatible avec ce que suspectent les autorités américaines : écarter des affidés gourmands en élargissant l’offre de travail, pour tirer leurs coûts vers le bas et relever leurs marges.

Selon nos observations, un affidé expérimenté – n’hésitant pas à demander des rançons exubérantes et ayant déjà travaillé avec d’autres franchises par le passé – ne semble plus actif avec Conti depuis quelques mois.

À moyen terme, cette approche de la franchise Conti pourrait contribuer à renforcer la menace, lorsque les nouveaux venus formés par ses soins, forts de leurs faits d’armes, décideront d’aller voir ailleurs, soit en rejoignant une autre franchise, soit en mettant à profit d’autres rançongiciels proposés en mode service par des développeurs indépendants.