Les autorités britanniques et américaines poursuivent leur stratégie de « name and shame » (« nommer et faire honte ») visant les cybercriminels et ont révélé, jeudi 7 septembre, une liste de onze personnes soupçonnées de participer à l’un des plus importants groupes cybercriminels russes de ces dernières années, souvent baptisé Trickbot ou Conti, du nom des opérations qui l’ont rendu célèbre.
Ce groupe, qui opère vraisemblablement en grande partie depuis le territoire russe où il a même été soupçonné de louer des bureaux physiques, est devenu en quelques années une véritable PME du piratage. Il est principalement connu pour deux opérations. La première, Trickbot, était initialement un cheval de Troie bancaire, c’est-à-dire un outil utilisé pour infecter des ordinateurs et dérober des identifiants bancaires ensuite utilisés ou revendus sur le marché noir. Par la suite, Trickbot est devenu une véritable boîte à outils utilisée pour infecter un grand nombre d’ordinateurs et éventuellement y installer d’autres logiciels malveillants. En moins de dix ans, Trickbot s’est imposé comme une menace majeure.
Plus récent, Conti est le nom d’un rançongiciel utilisé pour chiffrer les fichiers d’un ou plusieurs ordinateurs sur un réseau informatique afin de rendre les machines inutilisables. Une rançon est ensuite demandée aux victimes, qui doivent payer pour obtenir la clé de déchiffrement et récupérer leurs données. Jusqu’en 2022, le groupe fut l’un des plus actifs et des plus efficaces dans le petit milieu du rançongiciel : il est notamment connu pour une importante attaque contre les services de santé irlandais en 2021.
Une importante fuite de données
Cette petite entreprise de la cybercriminalité avait subi, au début de la guerre en Ukraine, un coup dur avec la divulgation par un chercheur infiltré de dizaines de milliers de lignes de conversations internes entre certains de ses membres. Les « Conti Leaks » révélaient le fonctionnement quotidien de ce groupe de pirates, tous identifiés par des pseudonymes.
Jeudi, les autorités britanniques et américaines sont venues mettre des noms et des prénoms sur ces alias, en annonçant des sanctions et des interdictions d’entrer sur le territoire pour onze personnes soupçonnées de participation aux activités de Conti ou Trickbot. Parmi eux, on trouve notamment « Buza », identifié comme Maksim Rudenskiy et soupçonné d’être une des têtes de l’équipe technique du réseau Trickbot. « Mango », soupçonné de s’appeler en réalité Mikhail Tsarev, était lui aussi largement présent dans les « Conti Leaks ». Il aurait opéré les activités de ressources humaines du groupe cybercriminel. Selon les autorités du Royaume-Uni, Andrey Zhuykov, connu entre autres sous les pseudonymes « Defender » et d’« Adam », était lui « un acteur central du groupe et [un] administrateur haut placé ».
Le communiqué du gouvernement britannique affirme également que le groupe « entretenait des liens et recevait des instructions des services de renseignement russes ». En 2022 déjà, dans certaines conversations présentes dans les Conti Leaks, un de ses membres expliquait avoir été approché par les autorités russes, qui lui avaient demandé de l’aide pour espionner un journaliste d’investigation travaillant sur l’opposant Alexei Navalny.
De leur côté, les autorités judiciaires américaines ont publié trois actes d’inculpation visant les opérateurs présumés de Conti et Trickbot, s’inscrivant dans la droite ligne de la stratégie de dissuasion mise en place par les Etats-Unis. Sachant que ces cybercriminels, qui opèrent souvent derrière les frontières russes, sont rarement interpellés, les autorités américaines publient très régulièrement des actes d’inculpation afin de mettre la pression sur la Russie, accusée de fermer les yeux sur leurs activités. Elles montrent du même coup aux responsables d’attaques par rançongiciels qu’ils peuvent être identifiés et directement visés par la justice.