C’est à croire que personne n’est en mesure d’arrêter Conti : le gouvernement américain a proposé une prime de 10 millions de dollars pour toute information permettant l’identification et l’arrestation des membres du groupe.
Le Costa Rica, de son côté, a déclaré l’état d’urgence afin de faire face aux attaques menées par le groupe.
De la poudre aux yeux ?
Pourtant, on pensait que Conti ne se remettrait pas de la diffusion en ligne de ses données internes par un chercheur en sécurité ukrainien. Mais l’activité du groupe semble continuer. Ces dernières semaines, son site web a ajouté de nouvelles victimes à son tableau de chasse, laissant entendre que le groupe n’était absolument pas perturbé par la publication de ses échanges internes.
Nouvelle preuve de sa bonne santé, le groupe Conti a décidé de s’attaquer aux institutions gouvernementales du Costa Rica dans le courant du mois d’avril, menaçant de dévoiler plus de 600 Go de données volées si le gouvernement ne s’acquittait pas d’une rançon. Le gouvernement ayant refusé de payer, Conti a mis sa menace à exécution au début du mois de mai, tout en promettant de nouvelles attaques contre le pays.
Pourtant, selon AdvIntel, toute cette déferlante d’activité ne serait que de la poudre aux yeux, un plan orchestré par les administrateurs du groupe cybercriminel pour organiser la fin d’une « marque » de ransomware devenue un peu trop « toxique » et pas assez rémunératrice. Dans un post de blog publié la semaine dernière, les chercheurs de la société AdvIntel détaillent leur interprétation des faits, soutenue par des renseignements obtenus sur le fonctionnement interne du groupe cybercriminel.
Conti fait diversion
Selon les chercheurs d’AdvIntel, la mise au ban de Conti commence avec la publication d’un message de soutien à la Russie, au lendemain de l’invasion de l’Ukraine par les forces russes. Cette prise de position, qui motivera notamment un chercheur ukrainien à dévoiler en ligne plusieurs archives contenant les échanges des discussions des membres du groupe Conti, attire sur le groupe une attention incompatible avec leurs affaires. « Depuis février 2022, presque aucun paiement n’a été versé au groupe, tandis que le logiciel de blocage de Conti est devenu hautement détectable et a été rarement déployé », indiquent les chercheurs.
De fait, l’association de Conti avec la Russie, actuellement visée par de nombreuses sanctions internationales, et la publication d’une prime par les autorités américaines complique le paiement des rançons en direction du groupe par les victimes basées aux Etats-Unis. Le gouvernement américain avait en effet rappelé en 2020 que le paiement de rançons en direction de groupes cybercriminels pouvait exposer les victimes à des sanctions de la part de l’administration américaine dans certains cas.
Les chercheurs d’AdvIntel ont également constaté que le 19 mai, l’interface d’administration du site Tor de Conti a été déconnectée, tout comme les outils utilisés pour négocier avec les victimes du groupe cybercriminel. Seul le site « vitrine » reste en ligne, mais il n’est plus qu’une coquille vide.
Restructuration entre amis
L’apparente activité de Conti vise avant tout à donner le change afin de laisser le temps à de nouvelles entités créées par d’anciens membres du groupe de prendre leurs marques et de s’implanter dans l’écosystème.
AdvIntel cite ainsi l’émergence de trois groupes spécialisés dans le vol de données : Karakurt, BlackBasta et Blackbyte, des groupes autonomes formés par d’anciens membres de Conti. De la même manière, AdvIntel estime que de nombreux affiliés de Conti ont noué des alliances avec d’autres groupes de ransomwares afin de continuer leurs activités, tout en conservant leurs liens avec le reste du groupe.
« Conti adopte une structure organisationnelle en réseau, plus horizontale et décentralisée que la hiérarchie rigide établie par le groupe Conti jusqu’alors. Cette structure sera une coalition de plusieurs subdivisions égales, dont certaines seront indépendantes, et certaines existant au sein d’un autre collectif de rançongiciels », écrivent les chercheurs d’AdvIntel.