AccueilSécuritéCybergang Conti : fuite de données internes - 2,8 milliards de dollars...

Cybergang Conti : fuite de données internes – 2,8 milliards de dollars US dérobés

Dans la guerre d’agression contre l’Ukraine, les cerveaux du cybergang Conti ont pris position et se sont rangés du côté de la Russie. Toutefois, cela a manifestement provoqué des dissensions internes. Au moins un membre probablement ukrainien de l’organisation criminelle a désormais publié des informations internes. Dans un premier temps, des comptes rendus de chat des années précédentes, mais dans la nuit de lundi à mardi, d’autres données sont venues s’ajouter, qui devraient faire encore plus mal au gang Conti.

Le Conti-Gang utilise le ransomware-as-a-service comme « modèle commercial ». Il offre aux cybercriminels intéressés une infrastructure, des instructions, des boîtes à outils telles que Trickbot et autres, qui leur permettent de s’infiltrer dans les réseaux et d’extorquer finalement une rançon aux victimes. En contrepartie, Conti retient une partie des paiements de rançon, qui sont généralement effectués en crypto-monnaies comme le bitcoin.

Les mots « Fuck the Russian government, Glory to Ukraine ! » ont accompagné la publication des premiers protocoles. Sur Twitter, ContiLeaks a déclaré dans la nuit de lundi à mardi, « sorry, i have very bed internet drive to fight with russian inviders ![…] ». Le membre de Conti se trouve apparemment aussi en Ukraine.

Sommaire

Le premier paquet contient les journaux Jabber internes de Conti de fin janvier 2021 à fin février 2022. Il a été suivi la nuit dernière par des paquets contenant la boîte à outils de Conti, des extraits du forum interne de Trickbot, des journaux de chat Rocket, des logiciels internes ainsi que des journaux de chat plus anciens datant de 2020.

En outre, ContiLeaks semble avoir accès aux serveurs de stockage de Conti, sur lesquels se trouvent les données des victimes de l’attaque, et les partage avec des contacts sélectionnés. Selon les rapports, le gang Conti a entre-temps déchiqueté le contenu des lecteurs. Les chercheurs en sécurité ont toutefois réussi à extraire certaines informations.

Les journaux Jabber montrent entre autres que les membres de Conti communiquent de manière anonyme via le réseau TOR. Selon les premières analyses, ils comprennent plus de 60 000 messages de plus de 2 500 utilisateurs. Les protocoles révèlent également que le gang Conti voulait mettre en place des accès de test de Sophos et CarbonBlack avec des entreprises fictives, probablement pour contourner leurs détections, a tweeté @albertzsigovits. L’analyse des nombreuses données n’en est toutefois qu’à ses débuts.

Les protocoles indiquent en outre l’adresse centrale Bitcoin de Conti. Celle-ci contient apparemment environ 65 500 bitcoins (BTC). Ceux-ci valaient environ 2,8 milliards de dollars américains (environ 2,5 milliards d’euros) le matin du 1er mars 2022.

Les bitcoins accumulés parlent en faveur de vols très lucratifs jusqu’à présent. Les chefs de file et les membres des gangs ne doivent toutefois plus se sentir trop en sécurité. Les données publiées pourraient permettre d’identifier les membres du cybergang. En outre, ces informations aideront les forces de l’ordre et les entreprises de sécurité informatique à mieux détecter les malwares Conti ou à optimiser les mesures de prévention en analysant les tactiques, les techniques et les procédures (TTP).

Comme des unités de lutte contre le blanchiment d’argent sont notamment impliquées, les bitcoins pourraient éventuellement être saisis. C’est précisément à de telles fins que le FBI a mis en place une nouvelle unité appelée « Virtual Asset Exploitation Unit », au sein de laquelle des experts en cryptomonnaies fournissent analyse, assistance et formation au FBI. Cette unité a également pour mission de moderniser les outils de cryptomonnaie des forces de l’ordre afin d’anticiper les menaces futures, peut-on lire dans un communiqué du Department of Justice.

D’autres cybergangs ont également pris position sur l’invasion de l’Ukraine par la Russie. L’un des plus grands « concurrents Conti » est le gang Lockbit 2.0. Il opère lui aussi sur le modèle du ransomware-as-a-service.

Il se considère comme apolitique, écrit le cybergang Lockbit dans sa prise de position. Les pentesters, c’est-à-dire les collaborateurs recrutés pour s’introduire dans les réseaux des victimes et y installer le ransomware, sont certes principalement originaires de Russie et d’Ukraine, mais comprennent également des Américains, des Anglais, des Chinois, des Français, des Arabes, des Juifs et bien d’autres.

« Pour nous, ce n’est qu’un business et nous sommes apolitiques. Nous ne sommes intéressés que par l’argent pour notre travail inoffensif et utile. Tout ce que nous faisons, c’est fournir une formation payée aux administrateurs système du monde entier sur la manière de mettre en place correctement un réseau d’entreprise », écrivent les auteurs de Lockbit 2.0. « Nous ne participerons jamais, en aucune circonstance, à des cyberattaques contre des infrastructures critiques de n’importe quel pays du monde dans le cadre de conflits internationaux ».

Lire aussi

Plus d'articles