Ransomware : le jeu toujours un peu plus trouble de Conti

Surprise, ce 24 mai : la revendication d’une cyberattaque contre RateGain Travel Technologies est publiée sur le site vitrine de Conti… ainsi que sur celui de Hive. Sur ce dernier, la publication fait état d’une date de déclenchement du chiffrement le 15 mai 2022.

Le cas n’est pas isolé. Une revendication d’attaque contre le groupe Attica avait été publiée chez Hive le 6 avril. Le 20 avril, elle apparaissait également du côté de Conti, comme le relevait Brett Callow, d’Emsisoft.

Les opérateurs de la franchise Hive ont probablement repéré l’échange, au sujet de ces deux victimes, sur Twitter : peu de temps après, ils ont mis à jour leurs publications relatives à RateGain et au groupe Attica, ajoutant une ligne assurant que « nous ne sommes pas liés à Conti ».

Toutefois, pour Yelisey Boguslavskiy, d’Advintel, cette allégation est fausse : pour lui, une forme de coopération existe bien, selon laquelle « Conti offre un accès initial et Hive le traite. Les membres de Conti responsables de ces accès publient parfois les résultats sur les deux blogs ». Cette coopération durerait depuis plus de six mois.

Mais il y a plus. Selon Yelisey Boguslavskiy, ces données ne viennent pas de cyberattaques récemment survenues, mais d’anciennes. Et cette réutilisation de vieilles données « suggère que Hive n’est pas dans sa meilleure forme ».

En début de journée, ce 25 mai, cinq revendications sont apparues sur le site vitrine de Conti. Deux d’entre elles avaient déjà été publiées au mois de mars. Une autre concernait une attaque contre l’administration du comté de Linn, dans l’Oregon… survenue fin janvier. De quoi conforter les affirmations de Yelisey Boguslavskiy. Dans l’après-midi du 26 mai, ces cinq revendications ont été supprimées du site vitrine de Conti.

Les cas où des entreprises sont successivement victimes de cyberattaques conduites avec des rançongiciels différents ont déjà été documentés. En juin 2021, Brett Callow, analyste chez Emsisoft, nous expliquait juger probable qu’il s’agisse d’un même attaquant, tentant sa chance une seconde fois, avec un autre ransomware, après avoir échoué une première fois à obtenir le paiement de la rançon.

Pour la franchise Conti, la situation semble toutefois différente. Yelisey Boguslavskiy estimait récemment que le groupe mafieux cherchait à infuser dans d’autres opérations, via notamment sa propre franchise Karakurt, mais aussi Black Basta, Alphv/BlackCat, AvosLocker, ou encore Hive, entre autres.

We previously reported #Conti members working for #HIVE - now they dump old data on their and #HIVE blogs at the same time

This shows how criminals re-weaponize old data and hints that HIVE is not in their best shape@ValeryMarchive - thank you for the #rategain observation pic.twitter.com/PhRvcUXcZx

— Yelisey Boguslavskiy (@y_advintel) May 24, 2022

L’expert d’AdvIntel replace ces efforts dans le contexte de la prise de position de Conti en faveur de la Russie, au début de son invasion de l’Ukraine. Celle-ci a été le déclencheur d’une longue et importante série de fuites dont certaines ont été exploitées par des chercheurs pour accéder à l’infrastructure interne à Conti.

Pour Yelisey Boguslavskiy, ces efforts pour « effacer » la marque Conti visent à éviter que des victimes ne se refusent à céder aux exigences d’affidés du groupe de peur d’enfreindre les sanctions en vigueur contre la Russie. Pour lui, « lorsqu’une entreprise paie Hive ou tout autre groupe allié à Conti, elle risque de soutenir involontairement un groupe pro-guerre, et pro-Poutine ».