EA09 Studio - stock.adobe.com

Ransomware : Moscou a-t-il lâché la bride à ses cyberdélinquants en Amérique latine ?

Des liens entre Conti et le FSB ont été mis en lumière. La PME cybercriminelle s’est montrée très agressive contre le Costa Rica et le Pérou, alors que l’Amérique latine apparaît particulièrement touchée. Quinze pays de la région se sont élevés contre l’invasion de l’Ukraine.

Le Costa Rica vient de déclarer l’état d’urgence. En cause, une série de cyberattaques lancées contre plusieurs institutions du pays par la franchise mafieuse Conti. Selon le décret, une « forte cyberattaque contre les bases de données du ministère des Finances » du Costa Rica est survenue le 12 avril. Et depuis, « de nouvelles attaques continuent d’être reçues sur différentes bases de données d’autres institutions » du pays. Et de qualifier cette offensive d’atteinte à la sécurité nationale.

De son côté, la franchise Conti a revendiqué s’être attaquée par ailleurs au ministère du Travail et des Affaires sociales, au Fonds de développement social, ou encore au service météorologique national et à l’entreprise Racsa. La première revendication a été publiée sur le site vitrine de la franchise le 16 avril, en début de soirée, heure de l’Europe continentale. Mais quelques jours plus tard, le groupe a commencé à menacer : « nous continuerons d’attaquer les ministères du Costa Rica jusqu’à ce que le gouvernement nous paie ». Une rançon de 10 millions de dollars a été demandée.

Au total, selon Germán Fernández, directeur général de CronUp Cybersecurity, au Chili, la publication relative au Costa Rica sur le site vitrine de Conti a été modifiée au moins 7 fois à ce jour. Mais ce pays n’est pas le seul à s’être attiré les foudres de Conti.

Le Pérou semble également s’être attiré l’attention de la franchise. Le 27 avril, la revendication d’une cyberattaque contre les services du renseignement péruviens, ainsi que le ministère de l’Économie et des Finances. Et de menacer : « que se passe-t-il si je coupe l’eau ou la lumière au Pérou ? »

Message de Conti pour le Costa Rica, au 12 mai 2022.
Message de Conti pour le Costa Rica, au 12 mai 2022.

L’Amérique latine n’est pas épargnée par les cyberattaques avec rançongiciel. Mais jusqu’ici et depuis 2020, le nombre de cas observés ne dépassait guère la vingtaine par mois. Ce mois d’avril 2022 s’est avéré particulièrement violent pour la région avec 30 cas observés. Conti n’est pas le seul groupe à sévir en Amérique latine, mais c’est bien lui qui s’y est fait le plus remarquer et qui semble y avoir été le plus actif le mois dernier, avec près d’un tiers des victimes.

Pour Germán Fernández, ce cas est effectivement spécifique : « je ne crois pas avoir jamais vu chose pareille sur le blog de Conti ». Selon lui, les allusions aux infrastructures vitales du Pérou sont « une menace désespérée dans leur système d’extorsion ; je ne pense pas qu’ils aient la capacité de faire quelque chose comme ça, bien que la menace explicite soit toujours sérieuse. Je suis de toute façon vigilant à ce sujet ».

La jeune pousse mexicaine Silikn a elle aussi remarqué l’intensité de l’activité de Conti en Amérique latine. Au point d’émettre récemment une alerte pour le Mexique, en soulignant quelles institutions locales pourraient être visées par les cyberdélinquants.

Message de Conti pour le Pérou, au 12 mai 2022.
Message de Conti pour le Pérou, au 12 mai 2022.

Pour mémoire, le groupe Conti s’est ouvertement rangé derrière la ligne du Kremlin dès le début de l’invasion de l’Ukraine par la Russie, fin février. Cette prise de position a déclenché une considérable fuite de données et d’échanges internes à la franchise mafieuse. Des documents qui ont mis en lumière la proximité d’au moins l’une des têtes de Conti avec le FSB, les services du renseignement russe.

Le Costa Rica et le Pérou font partie des 15 pays d’Amérique latine ayant pris position contre la guerre menée par la Russie envers l’Ukraine. Et justement, l’arrogance du membre de Conti ayant revendiqué les attaques contre le Costa Rica et le Pérou n’a échappé à personne. Il s’est d’ailleurs lui-même désigné « unc1756 », alors que les désignations d’assaillants sont l’apanage des acteurs de la cybersécurité. Et pour John Fokker, responsable des investigations cyber de Trellix, « quelqu’un ne parle comme ça que lorsqu’il se sent en sécurité. Et ce genre de sécurité peut être apportée par une protection gouvernementale ».

De leur côté, les États-Unis ont annoncé offrir jusqu’à 10 millions de dollars de récompense pour des informations conduisant à l’identification et/ou la localisation de personnes à des positions clés dans l’organisation de Conti. Et jusqu’à 5 millions de dollars pour toute information conduisant au moins à l’arrestation de tout autre complice de la franchise. Selon les autorités américaines, les activités de Conti auraient fait plus d’un millier de victimes à travers le monde à fin janvier 2022, pour plus de 150 millions de dollars soutirés.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close