Le célèbre gang de ransomware Conti, dont certaines entreprises suisses et dernièrement l'Université de Neuchâtel ont été des victimes connues, est lui-même touché par une fuite massive de données. Un chercheur en sécurité a divulgué des chats internes de l'organisation criminelle à des journalistes et à des experts en sécurité informatique.
Auparavant, Conti avait publiquement menacé l'Occident de mesures de rétorsion si les Etats-Unis et leurs alliés s'engageaient dans la guerre en Ukraine. Une grave erreur...
Conti est considéré comme l'un des gangs de ransomware les plus importants et les plus dangereux au monde – avec des dizaines de membres actifs vraisemblablement en Russie et dans d'autres pays d'Europe de l'Est. Mais l'organisation criminelle est désormais elle-même confrontée à une fuite potentiellement désastreuse.
Dans un premier temps, on a supposé qu'un membre du gang d'origine ukrainienne était à l’origine de la divulgation. Il s'est ensuite avéré que les données révélées provenaient d'un chercheur en sécurité ukrainien qui avait eu accès à la base de données.
Celui-ci a divulgué plus de 60 000 messages de discussion interne du gang des pirates informatiques, après que Conti se soit rangé du côté de la Russie en ce qui concerne l'invasion de l'Ukraine.
>>> Tout savoir sur l'invasion russe en Ukraine dans notre live ticker
Le groupe Conti est responsable de nombreuses attaques de ransomware contre des entreprises et des organisations gouvernementales suisses. Toutes les victimes ne sont pas encore connues, loin de là, mais cela pourrait changer, comme nous le verrons plus loin.
La dernière lettre de revendication des criminels concerne l'Université de Neuchâtel. L'institution d'enseignement a dû fermer ses serveurs et interrompre ses activités informatiques dans la nuit du 18 au 19 février 2022.
Lundi, le site de Conti affichait cette lettre de revendication de l'attaque contre l'université suisse, juste à côté du message qui a apparemment conduit à la dissolution de l'organisation criminelle.
Après l'invasion de l'Ukraine jeudi dernier, les leaders de Conti ont publié un message pro-russe agressif sur leur site.
Dans ce message, ils assuraient le gouvernement russe de leur soutien total dans son offensive contre l'Ukraine. Et ils menaçaient l'Occident d'attaques contre des «infrastructures centrales» en cas de cyberattaques contre la Russie.
Selon des rapports d'initiés, les membres ukrainiens du gang n’auraient pas apprécié le positionnement pro-russe. Conti a alors modéré ses propos sur sa propre page, déclarant «ne s'allier à aucun gouvernement» et condamner «la guerre en cours».
Le message modifié et non moins douteux des criminels est désormais le suivant:
D'autres bandes de ransomware opérant depuis la Russie et l'Ukraine ont été effrayées. Le gang LockBit a écrit dimanche dans un message très neutre qu'il ne voulait pas prendre parti.
Il est encore trop tôt pour le dire.
Les experts du média en ligne Bleeping Computer, spécialisé dans la sécurité informatique, ont examiné les données et les captures d'écran divulguées et en concluent que le matériel pourrait être très dommageable pour Conti.
Mais ce n'est pas tout: la fuite pourrait également nuire à des victimes de Conti jusqu'ici inconnues. C'est-à-dire toutes les entreprises et organisations qui ont payé (en secret) la rançon demandée pour empêcher une fuite d'informations.
Dans les prochains jours, les données seront examinées par les autorités de poursuite pénale et les chercheurs en sécurité.
Les premières déclarations des experts en sécurité informatique indiquent des dommages considérables (pour les criminels). Des indices montreraient qu'un programme jusqu'alors inconnu est utilisé par Conti pour exécuter des logiciels malveillants dans des systèmes étrangers, ce que les spécialistes appellent un «loader».
Dans les chats divulgués, on a en outre trouvé des centaines d'adresses Bitcoin avec plus de 13 millions de dollars de rançon. Cela ne signifie toutefois pas que les sommes correspondantes peuvent être saisies.
Il ressort également des discussions divulguées que la bande de Conti souhaite soutenir une ressortissante lettone arrêtée aux Etats-Unis en lui versant 10 000 dollars. Cette femme du nom d'Alla Witte, connue dans le milieu sous le nom de «Allka», serait une figure centrale du malware TrickBot (plus d'informations ci-dessous).
Selon Bleeping Computer, le chercheur en sécurité, dont le nom n'est pas mentionné, a pu accéder à une base de données. Le rapport ne précise pas comment cela a été possible. Il s'agirait du serveur de protocole pour le système de communication Jabber qu’utilise Conti. La société de cybersécurité Hold Security confirmerait.
Au total, 393 fichiers auraient été divulgués depuis le 21 janvier 2021, avec un total de 60 694 messages. Conti serait actif depuis juillet 2020, de sorte que la fuite contiendrait certes une grande partie des chats internes, mais pas tous.
De nombreuses grandes entreprises économiques ainsi que des organisations gouvernementales en Occident. Parmi elles, on peut citer:
Conti s'est également attaqué à des organisations pour lesquelles les pannes informatiques peuvent avoir des conséquences fatales: hôpitaux, organisations de gyrophares et autorités de poursuite pénale.
Après l'attaque réussie du système de santé de l’Irlande en mai 2021, les pirates ont surpris le gouvernement en lui remettant les codes de déverrouillage. Ils l’ont tout de même menacé de publier les données des patients.
Conti compte parmi les groupements les plus importants et dangereux proposant des attaques de cryptage sur les systèmes informatiques. Cela s'appelle un ransomware-as-a-service (RaaS) et signifie que des tiers peuvent utiliser le logiciel développé et exploité par Conti pour faire chanter à leur tour des entreprises et d'autres organisations.
Les commanditaires inconnus, qui agiraient depuis la Russie, auraient déjà encaissé des sommes d'extorsion de deux à trois chiffres en millions.
Selon les estimations actuelles des experts en sécurité, Conti a atteint le statut de syndicat du crime actif au niveau international. Dernièrement, une acquisition a fait les gros titres dans le secteur de la sécurité informatique: les développeurs du célèbre logiciel malveillant TrickBot auraient été rachetés.
Les partenaires commerciaux criminels de Conti – dits «affiliés» – obtiennent un accès en ligne à la plate-forme de contrôle spécialement conçue pour les attaques de ransomware. Cela comprend une application de décryptage, une passerelle de paiement pour les victimes, un calculateur de commissions, des outils de surveillance et un chat sécurisé pour communiquer avec les victimes.
Le ransomware Conti est apparu pour la première fois en mai 2020. Selon les experts en sécurité informatique, ce qui distingue ce programme nuisible des autres souches de logiciels malveillants est la vitesse à laquelle il peut se propager sur différents systèmes dans des réseaux étrangers et crypter les fichiers.
Les serveurs Windows ne sont pas les seuls concernés, les ordinateurs Linux sont également des cibles potentielles. Depuis décembre 2021, les développeurs criminels ont également exploité la faille Log4j pour lancer des attaques.
Le modèle commercial des inconnus qui se cachent derrière ces attaques repose sur un «double chantage». Cela signifie qu'après s'être introduits dans un système sans être remarqués, les pirates ne se contentent pas de crypter les données pour ensuite exiger une rançon de la victime. Ils volent aussi des fichiers précieux et menacent de les vendre à des tiers ou de les faire fuiter sur le Darknet.
Traduit de l'allemand par Tanja Maeder