Cybercriminalité : règlement de comptes à Conti Corral

Le 25 février, la franchise Conti a pris clairement position en faveur de la Russie. Dans un message publié sur leur site vitrine, le gang a ainsi annoncé son « soutien complet au gouvernement russe ». Peu après, le message a été légèrement nuancé, le groupe menaçant d’utiliser ses « pleines capacités pour lancer des mesures de rétorsion, dans le cas où les va-t-en-guerre occidentaux tenteraient de toucher des infrastructures critiques en Russie ou dans des pays russophones ».

Mais tous les membres du gang n’étaient pas sur la même ligne. Une personne très proche du groupe a rendu publiques les archives d’échanges privés des membres de Conti depuis début 2020, et même des fichiers datant de 2016, sans compter du code source à profusion ou des captures d’écran des outils du gang. Elle a même pu continuer ainsi durant quelques jours, pendant que d’autres membres de la galaxie Conti se demandaient qui était à l’origine de la fuite.

La source de ces fuites n’a pas été formellement identifiée, parmi les membres du groupe. Mais certains échanges font ressortir sans ambiguïté certaines dissensions. Toutefois, selon Vitali Kremez, patron d’AdvIntel, la franchise poursuit ses activités, remontant son infrastructure après que celle-ci a été largement exposée par les fuites. Et délibérément détruite par certains membres du groupe.

Mais ce jeudi 3 mars, une nouvelle source de fuites est apparue. Pour celle-ci, il ne semble plus question de seulement mettre au grand jour les rouages internes du cybergang, ni même d’en compromettre l’efficacité, mais bien de mettre un terme à ses activités en exposant l’identité de ses membres, ou d’au moins certains d’entre eux.

Quatre acteurs du cybergang sont concernés, à l’heure où sont publiées ces lignes. L’identité d’un premier suspect avait déjà été antérieurement évoquée. Vitali Kremez abonde pour deux acteurs. Selon lui, l’un d’entre eux n’est autre qu’un des négociateurs de Conti, « probablement la personne avec laquelle les entreprises compromises ont discuté, parce qu’il dispose d’un bon niveau en anglais ».

Il n’est pas possible, à ce stade, de déterminer si les deux séries de fuites sont le fruit de la même source ou d’une seconde. Plusieurs membres de la franchise Conti ont été clairement affectés par la prise de position initiale de ses patrons.