
robsonphoto - stock.adobe.com
Ransomware : des franchises comme autant d’écrans de fumée
Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée.
Le 22 février 2024, Prodaft, évoquait des activités d’anciens de Conti en lien avec la franchise LockBit. Étaient en particulier concernés trois groupes. Ce n’était pas le seul à mentionner cela.
RedSense l’évoquait également, un peu plus tôt. Selon Yelisey Bohuslavskiy, LockBit a d’abord débauché des pentesters chez Avaddon et REvil, à l’été 2021. Mais il faudra attendre l’automne 2022 pour qu’un rapprochement avec des ex-Conti s’opère.
Celui-là aurait été renforcé avec le développement de LockBit Green, justement pour répondre aux demandes des pentesters de Conti.
Début août 2022, feu Vitali Kremez, fondateur d’Advintel, détaillait : sur les sous-groupes de Conti, un premier disparaît à l’occasion des fuites de données ayant affecté le gang. Un second se retrouve en partie chez Silent Ransom et chez Quantum. Une partie du troisième sous-groupe est à retrouver chez BlackByte, Karakurt et Black Basta, tandis que l’autre reste avec Zeon qui sera rebaptisé Royal au mois de septembre 2022. Royal a désormais un successeur : BlackSuit.
Fin février 2022, la Russie envahit l’Ukraine et le gang Conti se déchire, au moins en partie. Le clap de fin est encore lointain. Car la franchise avait donc pris le temps de monter des filiales et d’infuser dans d’autres franchises.
Apparue en mars 2023, la franchise Akira n’est considérée comme liée à Conti que depuis l’été 2023. Des transactions ont permis d’établir les liens. ThreeAM est également considéré comme une émanation de Conti. Plus récemment, l’enseigne Black Basta apparaît avoir volé en éclats, certains de ses membres partant pour Akira tandis que d’autres seraient venus gonfler les rangs de Cactus. Trellix a pu confirmer ce lien sur la base des échanges internes à l'enseigne Black Basta divulgués en février, ainsi que d'autres avec Rhysida.
En fait, à ce stade, il convient de se demander si tenter de suivre l’historique d’une marque ou d’une autre continue d’avoir le moindre sens : il apparaît de plus en plus évident que des acteurs (individuels ou en petits groupes) cybercriminels passent régulièrement d’une enseigne à l’autre, quand ils n’officient pas plus ou moins ouvertement avec plusieurs d’entre elles.
Autrement dit, les enseignes, les marques du ransomware, ne sont qu’un écran de fumée derrière lequel se cachent les groupes mafieux qu’il est réellement important de suivre. Les mouvements financiers associés aux activités de nombreuses enseignes le confortent largement.
Certaines observations d’infrastructures le suggèrent également, à l’instar de celles rendues publiques par Group-IB en septembre 2023 : un acteur, surnommé ShadowSydicate, opérerait une importante infrastructure repérée par ses signatures SSH. Au total, 85 serveurs à l’époque de la publication du rapport, dont 52 au moins ayant été utilisés pour une infrastructure Cobalt Strike.
Historiquement, cette infrastructure a été associée, aux activités de Quantum, Nokoyawa, Alphv/BlackCat. Des soupçons existent quant à son éventuelle implication dans des opérations liées à Royal, Cl0p, Cactus, ou encore Play.
De son côté, Prodaft vient de documenter, dans un rapport, les activités d’une entité désignée sous le nom de Ruthless Mantis. Il s’agit d’un « groupe qui a rapidement gagné en expérience dans la conduite d’attaques avec rançongiciel sophistiquées ».
Mais Ruthless Mantis illustre parfaitement la manière dont certains acteurs du ransomware utilisent les enseignes bien connues de cet écosystème comme des écrans de fumée : « Ruthless Mantis s’est forgé une réputation notoire en raison de sa volonté de collaborer avec divers programmes d’affiliation de ransomware. Ces partenariats se caractérisent par un large éventail de conditions ; certains programmes affiliés bénéficient même d’un accès initial au réseau et d’outils de pentesting avancés pour faciliter l’exécution des attaques. Ce modèle de collaboration permet non seulement d’élargir les capacités opérationnelles du groupe, mais aussi de le rendre plus résistant et plus adaptable », explique Prodaft.
Parmi les enseignes concernées, on trouve ainsi Nokoyawa, INC Ransom, Qilin, et Ragnar Locker, mais aussi Medusa, RansomHouse et DonutLeaks.
Dans ce contexte, le partage d’informations au sein des forces l’ordre, et par exemple entre Gendarmerie et Police en France, apparaît crucial. La création de l’Ofac, début 2024, s’avère ainsi plus qu’opportune.
Tribune publiée initialement le 26 février 2024, mise à jour le 17 mars 2025, puis le 19 mars 2025.