robsonphoto - stock.adobe.com

Ransomware : des franchises comme autant d’écrans de fumée

Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée.

Le 22 février, Prodaft, évoquait des activités d’anciens de Conti en lien avec la franchise LockBit. Étaient en particulier concernés trois groupes. Ce n’était pas le seul à mentionner cela.

RedSense l’évoquait également, un peu plus tôt. Selon Yelisey Bohuslavskiy, LockBit a d’abord débauché des pentesters chez Avaddon et REvil, à l’été 2021. Mais il faudra attendre l’automne 2022 pour qu’un rapprochement avec des ex-Conti s’opère.

Celui-là aurait été renforcé avec le développement de LockBit Green, justement pour répondre aux demandes des pentesters de Conti. 

Début août 2022, feu Vitali Kremez, fondateur d’Advintel, détaillait : sur les sous-groupes de Conti, un premier disparaît à l’occasion des fuites de données ayant affecté le gang. Un second se retrouve en partie chez Silent Ransom et chez Quantum. Une partie du troisième sous-groupe est à retrouver chez BlackByte, Karakurt et Black Basta, tandis que l’autre reste avec Zeon qui sera rebaptisé Royal au mois de septembre 2022. Royal a désormais un successeur : BlackSuit

Fin février 2022, la Russie envahit l’Ukraine et le gang Conti se déchire, au moins en partie. Le clap de fin est encore lointain. Car la franchise avait donc pris le temps de monter des filiales d’infuser dans d’autres franchises. 

Apparue en mars 2023, la franchise Akira n’est considérée comme liée à Conti que depuis l´été 2023. Des transactions ont permis d’établir les liens. ThreeAM est également considéré comme une émanation de Conti.

En fait, à ce stade, il convient de se demander si tenter de suivre l’historique d’une marque ou d’une autre continue d’avoir le moindre sens : il apparaît de plus en plus évident que des acteurs – individuels ou en petits groupes – cybercriminels passent régulièrement d’une enseigne à l’autre quand ils n’officient pas plus ou moins ouvertement avec plusieurs d’entre elles. 

Autrement dit  les enseignes, les marques du ransomware, ne sont qu’un écran de fumée derrière lequel se cachent les groupes mafieux qu’il est réellement important de suivre. Les mouvements financiers associés aux activités de nombreuses enseignes le confortent largement. 

Certaines observations d’infrastructures le suggèrent également, à l’instar de celles rendues publiques par Group-ID en septembre dernier :  un acteur, surnommé ShadowSydicateopèrerait une importante infrastructure repérée par ses signatures SSH. Au total, 85 serveurs à l’époque de la publication du rapport, don’t 52 au moins ayant été utilisés pour une infrastructure Cobalt Strike.

Historiquement, cette infrastructure a été associée, aux activités de Quantum, Nokoyawa, Alphv/BlackCat. Des soupçons existent quant à son éventuelle implication dans des opérations liées à Royal, Cl0p, Cactus, ou encore Play.

Dans ce contexte, le partage d’informations au sein des forces l’ordre, et par exemple entre Gendarmerie et Police en France, apparaît crucial. La création de l’Ofac s’avère ainsi plus qu’opportune.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close