Ransomware : clap de fin pour Conti… ou presque

Certains observateurs attendaient, depuis des mois, un rhabillage de la franchise mafieuse Conti, une renaissance sous un autre nom, comme c’est fréquemment le cas dans le landernau du ransomware. Il n’aura pas lieu, selon AdvIntel : le groupe semble parti pour éclater et diffuser dans d’autres franchises. Yelisey Boguslavskiy l’annonçait hier sur Twitter : « Conti est officiellement arrêté ».

Certains pans visibles de l’infrastructure de Conti restent actifs, mais cela semble destiné à essayer de finaliser quelques dernières négociations en cours, voire à maintenir un écran de fumée pendant que le groupe se disloque. Yelisey Boguslavskiy a indiqué à nos confrères de Bleeping Computer que l’opération conduite contre le Costa Rica s’inscrit dans cette logique.

Advintel indique avoir suivi les préparatifs de cette attaque depuis le 14 avril. En interne, Conti aurait clairement affirmé ne pas même espérer de se faire payer, mais chercher simplement à faire du bruit. Selon Advintel, la rançon que les cyberdélinquants prévoyaient de demander n’aurait pas dépassé le million de dollars.

La franchise Karakurt, spécialisée dans l’extorsion simple, sans chiffrement, mais avec vol de données, compte parmi les groupes vers lesquels la franchise Conti a commencé à essaimer. Mais il faudrait aussi compter avec Black Basta, et BlackByte. Certains « Contis » seraient aussi à chercher désormais du côté d’Alphv/BlackCat,Hive, AvosLocker ou encore HelloKitty. En fait, les trois premiers seraient à voir comme des extensions de Conti, tandis que des partenariats auraient été noués avec les autres.

Mais il y aurait plus. Selon Advintel, les « Contis » auraient déjà devisé une stratégie d’OPA hostile : des membres infiltrent de petites franchises jusqu’à en dominer complètement la structure et les effectifs, et en faire de nouvelles filiales.

Dans un billet de blog, Yelisey Boguslavskiy, explique le groupe Conti prépare en fait sa scission depuis plus de deux mois « qui ont commencé leurs opérations avant que ne démarre le processus de fermeture » de la franchise historique : « ces sous-groupes ont soit utilisé des alter ego de Conti ou des maliciels de chiffrement existants, soit saisi l’opportunité d’en créer de nouveaux ». De quoi « contrôler le narratif autour de la dissolution tout en compliquant significativement toute attribution ultérieure ».  

Il faut dire que la franchise Conti n’a pas manqué d’être fortement secouée depuis le début de l’année et, en particulier, sa prise de position en faveur de la Russie lors du début de son invasion de l’Ukraine. Celle-ci a été le déclencheur d’une longue et importante série de fuites dont certaines ont été exploitées par des chercheurs pour accéder à l’infrastructure interne à Conti.

De son côté, Prodaft vient de publier un rapport sur les activités passées du groupe. Selon celui-ci, les données dérobées chez les victimes de Conti ont été régulièrement dupliquées sur un serveur de sauvegarde en Russie disposant d’une capacité de stockage d’environ 26 To : « l’une des découvertes les plus frappantes est que certaines victimes [dont les données avaient été copiées là] avaient été attaquées par le gang REvil autour du premier trimestre 2021 ». Cette observation tend à conforter les nôtres.

Au premier trimestre 2021, quatre négociations pour des victimes de REvil avaient attiré notre attention : la personne discutant cherchant à faire aboutir la tentative d’extorsion présentait des habitudes remarquables. Parmi les victimes concernées figuraient Acer et le français Asteelflash, ainsi que deux banques – l’une en Asie et l’autre en Afrique du Nord – dont les noms n’ont jamais été affichés dans la vitrine de REvil.

Peu de temps après, les mêmes habitudes ont pu être observées dans les négociations concernant quatre victimes de la franchise Conti ayant cédé au chantage, dont au moins trois clairement attribuables au même sous-groupe. Ces observations suggéraient au moins la migration d’un cyberdélinquant de REvil à Conti.