La reconversion de ces cybercriminels n’étonnera pas. Les experts en cybermenaces de Google viennent d’observer un mouvement significatif d’anciens membres de Conti, ce gang de rançongiciel très actif qui avait explosé en plein vol après des fuites d’échanges internes sur fond de dissensions sur la guerre en Ukraine. Plus précisément, il s’agit du groupe dénommé UAC-0098 par les chercheurs en sécurité, connu pour avoir par exemple utilisé le cheval de Troie bancaire IcedID.
Selon le Threat Analysis Group de Google, ces cybercriminels spécialisés dans la pénétration des réseaux informatiques au profit d’opérateurs de rançongiciels comme Conti ou Quantum ont en effet tourné leurs armes informatiques vers des cibles ukrainiennes au printemps.
Alignement des objectifs
Soit un exemple, pour Google, de la reconversion de cybercriminels vers des activités « étroitement alignées sur le gouvernement russe ». Pour les chercheurs du géant de Mountain View, ces attaques montrent la porosité en Europe de l’Est entre la cybercriminalité et des actions informatiques offensives d’origine étatique.
A la fin avril, les spécialistes de Google ont d’abord remarqué une première campagne d’hameçonnage par e-mail. Puis les cybercriminels ont été surpris ensuite en train de viser des hôtels ukrainiens en se faisant passer pour la cyberpolice ukrainienne.
De même, en mai, ils ont tenté de faire croire à leurs interlocuteurs qu’ils travaillaient pour Starlink, ce système de communication satellitaire qui a été étendu par le milliardaire Elon Musk à l’Ukraine après l’invasion russe. Dans une autre campagne, c’est cette fois l’identité du service des impôts d’Ukraine qui avait été usurpée.
Derniers exemples développés par Google : les cybercriminels auraient visé des ONG humanitaires en Italie ou encore l’Académie de la presse ukrainienne.