DE | FR
Suite à la fuite informatique du groupe Conti, des vols de données tenus secrets par les entreprises concernées pourraient également être mis au jour.
Suite à la fuite informatique du groupe Conti, des vols de données tenus secrets par les entreprises concernées pourraient également être mis au jour.image: watson

Le gang russe de hackers les plus dangereux du monde piraté à son tour

La bande de pirates informatiques «Conti» est responsable de certaines des pires cyberattaques de ces dernières années. Elle fait désormais elle-même l'objet d'une importante fuite de données, ce qui pourrait avoir des conséquences pour les entreprises suisses.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
28.02.2022, 18:57
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi

Le célèbre gang de ransomware Conti, dont certaines entreprises suisses et dernièrement l'Université de Neuchâtel ont été des victimes connues, est lui-même touché par une fuite massive de données. Un chercheur en sécurité a divulgué des chats internes de l'organisation criminelle à des journalistes et à des experts en sécurité informatique.

Auparavant, Conti avait publiquement menacé l'Occident de mesures de rétorsion si les Etats-Unis et leurs alliés s'engageaient dans la guerre en Ukraine. Une grave erreur...

Catastrophe chez les criminels russes

Conti est considéré comme l'un des gangs de ransomware les plus importants et les plus dangereux au monde – avec des dizaines de membres actifs vraisemblablement en Russie et dans d'autres pays d'Europe de l'Est. Mais l'organisation criminelle est désormais elle-même confrontée à une fuite potentiellement désastreuse.

Dans un premier temps, on a supposé qu'un membre du gang d'origine ukrainienne était à l’origine de la divulgation. Il s'est ensuite avéré que les données révélées provenaient d'un chercheur en sécurité ukrainien qui avait eu accès à la base de données.

Celui-ci a divulgué plus de 60 000 messages de discussion interne du gang des pirates informatiques, après que Conti se soit rangé du côté de la Russie en ce qui concerne l'invasion de l'Ukraine.

>>> Tout savoir sur l'invasion russe en Ukraine dans notre live ticker

En quoi la Suisse est-elle concernée?

Le groupe Conti est responsable de nombreuses attaques de ransomware contre des entreprises et des organisations gouvernementales suisses. Toutes les victimes ne sont pas encore connues, loin de là, mais cela pourrait changer, comme nous le verrons plus loin.

La dernière lettre de revendication des criminels concerne l'Université de Neuchâtel. L'institution d'enseignement a dû fermer ses serveurs et interrompre ses activités informatiques dans la nuit du 18 au 19 février 2022.

Lundi, le site de Conti affichait cette lettre de revendication de l'attaque contre l'université suisse, juste à côté du message qui a apparemment conduit à la dissolution de l'organisation criminelle.

A gauche, des données volées à l’Université de Neuchâtel. A droite, les criminels mettent les pays en garde contre des représailles.
A gauche, des données volées à l’Université de Neuchâtel. A droite, les criminels mettent les pays en garde contre des représailles. screenshot: watson

Que s'est-il passé?

Après l'invasion de l'Ukraine jeudi dernier, les leaders de Conti ont publié un message pro-russe agressif sur leur site.

Dans ce message, ils assuraient le gouvernement russe de leur soutien total dans son offensive contre l'Ukraine. Et ils menaçaient l'Occident d'attaques contre des «infrastructures centrales» en cas de cyberattaques contre la Russie.

Selon des rapports d'initiés, les membres ukrainiens du gang n’auraient pas apprécié le positionnement pro-russe. Conti a alors modéré ses propos sur sa propre page, déclarant «ne s'allier à aucun gouvernement» et condamner «la guerre en cours».

Le message modifié et non moins douteux des criminels est désormais le suivant:

«En réponse au bellicisme occidental et aux menaces américaines de lancer une cyberguerre contre les citoyens de la Fédération de Russie, l'équipe Conti annonce officiellement que nous utiliserons toutes nos capacités pour prendre des mesures de rétorsion si les Occidentaux tentent de s'attaquer à des infrastructures critiques en Russie ou dans une région russophone du monde.

Nous ne sommes alliés à aucun gouvernement et nous condamnons la guerre en cours. Cependant, l'Occident étant connu pour mener ses guerres en premier lieu contre des civils, nous utiliserons nos ressources pour riposter si le bien-être et la sécurité de citoyens pacifiques sont menacés par la cyber-agression américaine.»

D'autres bandes de ransomware opérant depuis la Russie et l'Ukraine ont été effrayées. Le gang LockBit a écrit dimanche dans un message très neutre qu'il ne voulait pas prendre parti.

Selon la bande de ransomware LockBit, l'un des développeurs vivrait en Suisse. Les criminels affirment être totalement apolitiques.
Selon la bande de ransomware LockBit, l'un des développeurs vivrait en Suisse. Les criminels affirment être totalement apolitiques.screenshot: twitter

Quelles sont les conséquences de la fuite de Conti?

Il est encore trop tôt pour le dire.

Les experts du média en ligne Bleeping Computer, spécialisé dans la sécurité informatique, ont examiné les données et les captures d'écran divulguées et en concluent que le matériel pourrait être très dommageable pour Conti.

Mais ce n'est pas tout: la fuite pourrait également nuire à des victimes de Conti jusqu'ici inconnues. C'est-à-dire toutes les entreprises et organisations qui ont payé (en secret) la rançon demandée pour empêcher une fuite d'informations.

Dans les prochains jours, les données seront examinées par les autorités de poursuite pénale et les chercheurs en sécurité.

«La fuite de ces communications est un coup dur pour Conti, car elle fournit aux chercheurs et aux forces de l'ordre des informations sensibles sur leurs processus internes»
source: bleepingcomputer.com

Les premières déclarations des experts en sécurité informatique indiquent des dommages considérables (pour les criminels). Des indices montreraient qu'un programme jusqu'alors inconnu est utilisé par Conti pour exécuter des logiciels malveillants dans des systèmes étrangers, ce que les spécialistes appellent un «loader».

screenshot: twitter

Dans les chats divulgués, on a en outre trouvé des centaines d'adresses Bitcoin avec plus de 13 millions de dollars de rançon. Cela ne signifie toutefois pas que les sommes correspondantes peuvent être saisies.

screenshot: twitter

Il ressort également des discussions divulguées que la bande de Conti souhaite soutenir une ressortissante lettone arrêtée aux Etats-Unis en lui versant 10 000 dollars. Cette femme du nom d'Alla Witte, connue dans le milieu sous le nom de «Allka», serait une figure centrale du malware TrickBot (plus d'informations ci-dessous).

Comment les données ont-elles été divulguées?

Selon Bleeping Computer, le chercheur en sécurité, dont le nom n'est pas mentionné, a pu accéder à une base de données. Le rapport ne précise pas comment cela a été possible. Il s'agirait du serveur de protocole pour le système de communication Jabber qu’utilise Conti. La société de cybersécurité Hold Security confirmerait.

Au total, 393 fichiers auraient été divulgués depuis le 21 janvier 2021, avec un total de 60 694 messages. Conti serait actif depuis juillet 2020, de sorte que la fuite contiendrait certes une grande partie des chats internes, mais pas tous.

Qui sont les victimes les plus connues de Conti?

De nombreuses grandes entreprises économiques ainsi que des organisations gouvernementales en Occident. Parmi elles, on peut citer:

  • l'Université de Neuchâtel
  • le fabricant suisse de stores Griesser
  • le groupe industriel Habasit
  • le groupe touristique munichois FTI Group

Conti s'est également attaqué à des organisations pour lesquelles les pannes informatiques peuvent avoir des conséquences fatales: hôpitaux, organisations de gyrophares et autorités de poursuite pénale.

Après l'attaque réussie du système de santé de l’Irlande en mai 2021, les pirates ont surpris le gouvernement en lui remettant les codes de déverrouillage. Ils l’ont tout de même menacé de publier les données des patients.

Comment fonctionne le ransomware?

Conti compte parmi les groupements les plus importants et dangereux proposant des attaques de cryptage sur les systèmes informatiques. Cela s'appelle un ransomware-as-a-service (RaaS) et signifie que des tiers peuvent utiliser le logiciel développé et exploité par Conti pour faire chanter à leur tour des entreprises et d'autres organisations.

Les commanditaires inconnus, qui agiraient depuis la Russie, auraient déjà encaissé des sommes d'extorsion de deux à trois chiffres en millions.

Selon les estimations actuelles des experts en sécurité, Conti a atteint le statut de syndicat du crime actif au niveau international. Dernièrement, une acquisition a fait les gros titres dans le secteur de la sécurité informatique: les développeurs du célèbre logiciel malveillant TrickBot auraient été rachetés.

L'interface utilisateur du logiciel développé par Conti, qui permet de contrôler et de surveiller les attaques de ransomware dans le monde entier.
L'interface utilisateur du logiciel développé par Conti, qui permet de contrôler et de surveiller les attaques de ransomware dans le monde entier. screenshot: twitter

Les partenaires commerciaux criminels de Conti – dits «affiliés» – obtiennent un accès en ligne à la plate-forme de contrôle spécialement conçue pour les attaques de ransomware. Cela comprend une application de décryptage, une passerelle de paiement pour les victimes, un calculateur de commissions, des outils de surveillance et un chat sécurisé pour communiquer avec les victimes.

«Ces outils sont conçus pour des utilisateurs qui n'ont pas de connaissances dans le domaine. Les cybercriminels n'ont ainsi plus besoin d'un grand savoir-faire technique pour mener à bien des campagnes d'attaque.»
source: securityweek.com

Le ransomware Conti est apparu pour la première fois en mai 2020. Selon les experts en sécurité informatique, ce qui distingue ce programme nuisible des autres souches de logiciels malveillants est la vitesse à laquelle il peut se propager sur différents systèmes dans des réseaux étrangers et crypter les fichiers.

Les serveurs Windows ne sont pas les seuls concernés, les ordinateurs Linux sont également des cibles potentielles. Depuis décembre 2021, les développeurs criminels ont également exploité la faille Log4j pour lancer des attaques.

Le modèle commercial des inconnus qui se cachent derrière ces attaques repose sur un «double chantage». Cela signifie qu'après s'être introduits dans un système sans être remarqués, les pirates ne se contentent pas de crypter les données pour ensuite exiger une rançon de la victime. Ils volent aussi des fichiers précieux et menacent de les vendre à des tiers ou de les faire fuiter sur le Darknet.

Traduit de l'allemand par Tanja Maeder

Manifestations anti-guerre en Russie

Plus d'articles sur la guerre en Ukraine

La Bourse de Moscou n'a pas résisté aux sanctions économiques occidentales

Link zum Artikel

Russie-Ukraine: Twitter relâche la pression avec des blagues (si, si)

Link zum Artikel

Les avoirs financiers de Poutine suscitent les thèses les plus folles

Link zum Artikel

Le football suisse boycotte à son tour les équipes russes

Link zum Artikel
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Joe Biden se rend au Japon pour consolider le leadership américain
Le président américain Joe Biden est arrivé dimanche au Japon, dernière étape de sa première tournée en Asie depuis son entrée en fonctions, sur fond de menace nord-coréenne, d'ambitions géopolitiques de la Chine et de guerre en Ukraine.

Le président américain Joe Biden est arrivé dimanche au Japon, dernière étape de sa première tournée en Asie depuis son entrée en fonctions, sur fond de menace nord-coréenne, d'ambitions géopolitiques de la Chine et de guerre en Ukraine.

L’article