ThreeAM : encore une émanation de Conti

On lui connaît une petite vingtaine de victimes à travers le monde, dont une en France, DS Granit, revendiquée le 22 novembre 2023, pour une attaque vraisemblablement survenue plus de deux semaines plus tôt : c’est le groupe ThreeAM (ou 3am).

Découvert mi-septembre, ce groupe au site vitrine dont l’interface rappelle celle de Conti, a initialement publié des revendications renvoyant au mois d’août 2023, aux côtés d’autres plus récentes. 

Selon Symantec, le ransomware ThreeAM, écrit en Rust, n’est pour l’heure pas très utilisé. Mais un affidé LockBit semble également l’avoir adopté : les équipes de l’éditeur ont observé l’emploi de ThreeAM après une première tentative avortée de déclenchement de LockBit.

Les équipes de renseignement sur les menaces d’Intrinsec se sont penchées dessus, faisant apparaître des activités publiques, sur X (ex-Twitter) remontant au 10 août : ThreeAM publiait alors des messages de promotion d’une divulgation de données volées en répondant à des messages de followers de sa victime. Une technique originale.

Mais les découvertes d’Intrinsec vont au-delà : « nous avons réussi à désanonymiser le serveur du site web utilisé par le groupe d’intrusion et avons constaté des recoupements avec l’écosystème russophone des ransomwares de haut niveau. Nous estimons qu’il est probable que le ransomware ThreeAM travaille sous l’aile du syndicat Conti réorganisé (l’ancienne TEAM 2 de Conti, aujourd’hui connue sous le nom de Royal). Comme le montre la littérature, une relation avec les membres de Zeon (ancienne TEAM1) est possible ».

Surtout, les équipes d’Intrinsec ont « trouvé une correspondance étroite avec l’infrastructure dorsale utilisée par le logiciel malveillant IcedID qui est déployé par plusieurs courtiers en accès initiaux (IAB) connus pour alimenter l’écosystème des ransomwares, tels que ALPHV/BlackCat ».

Cette remarque ne manque pas d’intérêt : initialement, selon Trend Micro, Zeon exploitait le ransomware deBlackCat, avant de passer à son propre maliciel de chiffrement dédié déposant des notes de rançon rappelant celles de Conti.

Mais IcedID a aussi été utilisé en amont d’attaques impliquant le ransomware XingLocker – lié à Quantum, et surtout MountLocker lui-même ayant été déployé par des équipes liées à Conti. 

Qui plus est, « certains résultats suggèrent également que le ransomware LockBit en mode service pourrait être utilisé, dans certains cas, comme un écran de fumée pour des opérations de cyberespionnage et de vol intellectuel par deux ensembles d’intrusion liés aux services de renseignement russes et chinois (Evil Corp et Bronze Starlight, respectivement) ».

Pour Yelisey Bohuslavskiy, de RedSense, il faut en fait distinguer deux sous-groupes « Zeon1 » et « Zeon2 ». Le premier serait « un ancien de la vieille garde Ryuk » qui « travaille comme sous-groupe pour LockBit, Akira, et jusqu’à récemment BlackCat. 

Le second, « un héritier direct de Conti, qui a été rebaptisé d’abord en Zeon (d’où la confusion) », serait lié à Quantum, puis Royal, et désormais BlackSuit. Il serait « responsable de l’alignement de l’infâme Conti sur la Russie » lors de l’invasion de l’Ukraine, début 2022. 

Selon Yelisey Bohuslavskiy, « le leader de Zeon2 a une alliance personnelle et institutionnelle avec l’administrateur de LockBit ». En fait, pour lui, « l’écosystème a été complètement chamboulé, et il est extrêmement difficile maintenant de comprendre qui est qui ».