Ransomware : un an plus tard, que sont devenus les Conti ?

Une véritable PME

Les échanges internes divulgués suggèrent que le gang comptait un total d’une centaine de personnes mi-juillet 2021. Parmi elles, une soixantaine de personnes spécialisées dans la conduite des intrusions à partir d’accès initiaux, obtenus notamment via Trickbot. Mais seulement une petite dizaine de ces personnes aurait été effectivement active. 

Au sommet de la pyramide hiérarchique de cette véritable PME se trouvent notamment Stern et Mango. Mais il faut aussi compter avec Bentley, Target ou encore Veron. 

Certains membres du gang sont plus que des affidés. Comme l’évoquaient les autorités américaines à l’automne dernier, Conti a ses salariés. Chaque mois, ils se tournent notamment vers Mango pour obtenir leur « salaire », 500 ou 750 $ en bitcoins sur une adresse précisée par message.

Mais le niveau de compétence s’avère globalement hétérogène, avec certaines recrues auxquelles il faut expliquer comment utiliser un serveur VPN ou un serveur mandataire Socks.

Certains membres du gang apparaissent en outre plus prudents que d’autres, notamment pour recevoir leurs paiements : là où certains utilisent régulièrement la même adresse bitcoin, d’autres en changent de manière plus ou moins systématique.

Trois équipes

Outre des fonctions support transversales, le groupe Conti s’articule principalement autour de trois équipes chargées du développement, des intrusions, du renseignement en sources ouvertes, etc. Ce sont elles qui préparent, conduisent les attaques, puis négocient avec leurs victimes propres.

Cette organisation apparaît clairement à l’occasion de ce qu’il est convenu d’appeler les ContiLeaks. Mais elle était déjà perceptible dans les négociations, chaque sous-groupe de Conti semblant disposer de ses propres scripts de discussion. 

Début mars 2022, une nouvelle source de fuites relatives à Conti fait son apparition. Mais cette fois-ci, pas question de se contenter de données internes et de pseudonymes : il s’agit de lier ces derniers à des identités réelles. Mi-février 2023, les États-Unis et le Royaume-Uni imposent des sanctions à certains membres du gang, confirmant au passage les identités dévoilées un an plus tôt.

Au moment où la Russie envahit l’Ukraine, Conti a déjà monté des filiales, comme Karakurt, qui pratiquent l’extorsion simple en se contentant de voler des données sans les chiffrer. 

Les sous-groupes de Conti se sont également mis à infuser dans d’autres franchises, comme Black Basta, AvosLocker, ou encore Hive. 

Et autant de rebondissements

Début août 2022, feu Vitali Kremez, fondateur d’Advintel, détaillait : sur les sous-groupes de Conti, un premier disparaît à l’occasion des fuites de données ayant affecté le gang. Un second se retrouve en partie chez Silent Ransom et chez Quantum. Une partie du troisième sous-groupe est à retrouver chez BlackByte, Karakurt et Black Basta, tandis que l’autre reste avec Zeon qui sera rebaptisé Royal au mois de septembre 2022. 

Initialement, rapporte Trend Micro, Zeon exploitait le ransomware de BlackCat, avant de passer à son propre maliciel de chiffrement dédié déposant des notes de rançon rappelant celles de Conti.

Selon Yelisey Bohuslavskiy, ancien d’AdvIntel passé chez RedSense au mois de février, Royal « joue un rôle extrêmement important dans le milieu cybercriminel russophone ». Le groupe compterait près de 50 membres actifs organisés en 5 divisions opérationnelles. Selon Trend Micro, Royal fonctionne actuellement comme un groupe fermé, sans affidés.