Ransomware : la guerre en Ukraine secoue l’écosystème cybercriminel

Le 23 février encore, le petit monde de la cybercriminalité semblait largement indifférent à la situation géopolitique. Mais il n’aura pas fallu attendre bien longtemps après l’entrée des troupes russes en Ukraine pour que les tensions internationales viennent ajouter aux dissensions internes des cybergangs.

Le 25 février, la franchise Conti a en effet pris ouvertement position en faveur de la Russie. Une demi-surprise : certains de ses membres ne manquaient pas déjà d’afficher leur « patriotisme » début 2021, dans des échanges privés. Dans un message publié sur leur site vitrine, le gang a ainsi annoncé son « soutien complet au gouvernement russe ». Peu après, le message a été légèrement nuancé, le groupe menaçant d’utiliser ses « pleines capacités pour lancer des mesures de rétorsion, dans le cas où les va-t-en-guerre occidentaux tenteraient de toucher des infrastructures critiques en Russie ou dans des pays russophones ».

Mais le mal était fait. Une personne proche du gang a rendu publiques les archives d’échanges privés des membres de Conti depuis début 2021. Selon notre confrère Jeremy Kirk, c’est en fait un chercheur en cybersécurité, ayant infiltré le gang, et originaire d’Ukraine, qui serait à l’origine de la fuite.

#Conti #ransomware just changed the phrasing of their statement regarding Russia's support. Claiming that they do not ally with any government and condemn the war.@VK_Intel @malwrhunterteam pic.twitter.com/JaLYPlDjwb

— Yelisey Boguslavskiy (@y_advintel) February 25, 2022

Une telle infiltration n’aurait rien de surprenant, et elle nous avait déjà été suggérée plus tôt par quelques sources. Selon les échanges au sein du groupe Conti que nous avons pu commencer à examiner, le gang se comptait un total d’une centaine de personnes mi-juillet 2021. Parmi elles, une soixantaine de personnes spécialisées dans la conduite des intrusions à partir d’accès initiaux, obtenus notamment via Trickbot. Mais les échanges suggèrent que seulement une petite dizaine de ces personnes était effectivement active. De quoi laisser une place significative à d’éventuelles taupes.

Les opérateurs de la franchise LockBit 2.0 ont rapidement réagi aux déclarations de Conti et à la crise qu’elles ont déclenchée, prenant la peine de publier un message traduit en plusieurs langues, dont le français : « notre communauté est composée de nombreuses nationalités du monde, la plupart de nos pentesters sont originaires de la CEI, notamment des Russes et des Ukrainiens, mais nous avons également des Américains, des Anglais, des Chinois, des Français, des Arabes, des Juifs et bien d’autres dans notre équipe. […] nous sommes tous des gens simples et pacifiques, nous sommes tous des Terriens. Pour nous, il ne s’agit que d’affaires et nous sommes tous apolitiques. Nous ne sommes intéressés que par l’argent […] Nous ne participerons jamais, en aucune circonstance, à des cyberattaques contre les infrastructures critiques d’un pays du monde ou à des conflits internationaux ». Les opérateurs de LockBit 2.0 se sont parallèlement dits prêts à racheter le code source d’Emotet et de TrickBot.

De nombreux autres groupes de cyberdélinquants adeptes des ransomwares ont pris position en faveur de l’Ukraine, dont AgainstTheWest (ATW). Le groupe Cooming Project s’est quant à lui positionné en faveur de la Russie. Mais les premiers, ATW, ont par la suite assuré avoir pleinement compromis et identifié les membres du second groupe : « une équipe de 6 adolescents et jeunes adultes français », selon ATW. Et d’assurer avoir transmis toutes les données collectées aux forces de l’ordre de l’Hexagone.