La franchise mafieuse Conti est-elle en train de baisser le rideau ? Selon Advintel, une société new-yorkaise spécialisée dans le renseignement sur la cybercriminalité russophone, Conti a fermé il y a quelques jours ses services d’administration, d’hébergement de données volées et de négociation. Un démantèlement également observé par la firme Recorded Future. Même si son blog où le gang menace ses victimes est toujours actif, avec un tableau de chasse remis à jour, pour ces chercheurs en cybermenaces la fin de la marque Conti a bien été programmé.
Repéré en mai 2020, Conti est un rançongiciel particulièrement rapide qui fonctionne sur le modèle de la franchise. Des affidés peuvent louer contre une rémunération l’accès au programme. Et ils ne se font pas prier. Après un chiffre d’affaires criminelles évalué au moins 20 millions de dollars en 2020, Conti aurait été le logiciel malveillant de ce type le plus actif en 2021, avec au moins 180 millions de dollars extorqués, selon le cabinet spécialisé dans les enquêtes sur la blockchain Chainalysis.
Ciblant des organisations en Amérique du nord ou en Europe, il avait par exemple visé le service de santé irlandais en mai 2021, l’une des 1000 victimes désignées par le FBI.
Des cybercriminels à la tête d’un magot considérable
Mais même si elle se confirme, cette fin des activités de Conti n’est pas vraiment une bonne nouvelle. Car elle ne sera pas synonyme d’un arrêt de l’entreprise criminelle. Pourquoi les développeurs de ce logiciel malveillant s’arrêteraient en effet là ? Ce n’est d’ailleurs pas leur premier coup d’éclat. Les autorités soupçonnent en effet un groupe particulièrement dynamique, Wizard Spider, d’être derrière ce rançongiciel.
Ce groupe de hackers russophones est ainsi suspecté d’avoir lancé en quelques années plusieurs malwares très dangereux, du botnet TrickBot au rançongiciel Ruyk en passant par le cheval de Troie BazarLoader. Selon Prodaft, une société spécialisée dans les menaces cyber, le gang serait sans doute l’un des plus riches actuellement en activité, avec un magot « aisément supérieur à des centaines de millions de dollars ». Son « extraordinaire rentabilité permet à ses dirigeants d’investir » dans la recherche et le développement, résume l’entreprise dans un rapport récent.
Pour ce gang, même si sa marque Conti a été très lucrative, elle a sans doute fait son temps. Pour Yelisey Bogusalvskiy et Vitali Kremez, les dirigeants d’Advintel, elle est sans doute devenue trop sulfureuse, analysent-ils. “Le but de ces cybercriminels n’est pas de développer une marque, mais de faire de l’argent”, rappelle à l’Usine digitale Nicolas Arpagian, directeur de la stratégie en cybersécurité de Trend Micro. La franchise Conti a connu en effet un début d’année avec l’invasion russe en Ukraine. Après s’être placés en soutien de la Russie, les cybercriminels ont en effet été victimes d’une série de fuites qui ont dévoilé les coulisses de l’organisation du rançongiciel et une partie de leur cyberarsenal.
Deux primes offertes par le département d’État
Ce soutien rend peut-être encore plus compliqué le paiement des rançons suite aux nouvelles sanctions financières visant la Fédération de Russie, observe Computer Weekly. Enfin, le département d’État américain vient d’offrir 15 millions de dollars de récompense à travers deux primes pour avoir des tuyaux sur le groupe criminel. Autant d’éléments qui expliquent le sabordage de la marque.
Mais avant, les opérateurs de Conti avaient toutefois besoin d’un dernier coup d’éclat pour masquer leurs intentions, selon Advintel. Ce serait le rôle de la tonitruante attaquée en cours contre le Costa Rica, ciblée par la franchise mafieuse. “Un pays qui a basculé en état d’urgence suite à une attaque par rançongiciel, c’est une première”commenté auprès de l’Usine digitale Loïc Guézo, le secrétaire général du Clusif.
En coulisses, le gang a pendant ce temps a réussi un éclatement stratégique de son activité vers une série de nouveaux outils malveillants, comme KaraKurt, BlackByte ou encore BlackBasta. Mais comme le rappelle Allan Liska, un des experts de Recorded Future, même si le gang affirme “se diviser en groupes plus petits complètement indépendants”, “ce n’est pas parce qu’ils le disent que c’est vrai”. “Avec des outils performants, ils peuvent repartir de zéro sans avoir besoin de capitaliser sous leur ancien nom”, analyse également Nicolas Arpagian. Quelque soit leur nom, on n’en a donc pas encore fini avec les hackers de Conti.
