Retour sur l’histoire brève de Conti, un groupe de hackers opérant depuis la Russie

Entre 2021 et 2022, Conti est le ransomware le plus actif et le plus utilisé par les cybercriminels, loin devant Darkside. Il est même considéré comme le successeur du groupe de hackers Ryuk. D’ailleurs, les deux groupes partagent la même nationalité, à savoir russe. Conti mène plusieurs attaques d’envergure visant des établissements de santé comme en Irlande et en Nouvelle-Zélande et d’autres organisations. Le soutien à la guerre en Ukraine marque pourtant un coup d’arrêt dans les activités du groupe. Les experts en cybersécurité estiment que cela est sans doute dû aux divergences d’opinion des membres quant au soutien au régime russe.

Les groupes de ransomware font partie des plus redoutables et dévastateurs dans le monde de la cybersécurité. Dès la fin des années 1980, ce type de malware a fait des ravages comme le démontre le cheval de Troie du Sida. À l’époque, les auteurs demandaient 189 dollars pour décrypter les fichiers.

Actuellement, les cybercriminels ont peaufiné leur méthode. Les ransomwares suivent le même modèle que les logiciels commerciaux en tant que service. Le RaaS (Ransomware-as-a-service) est un modèle commercial très lucratif. Les cybercriminels en herbe ou néophytes en codage louent des infrastructures de ransomware auprès des groupes comme Conti. Il s’agit d’un service complet incluant la demande de paiement, les négociations avec la cible et le blanchiment de la rançon.

C’est grâce à ce modèle que Conti a réussi à s’enrichir. Au lieu de s’attaquer aux cibles directement, le groupe laisse à ses affiliés cette basse besogne. Il perçoit seulement un pourcentage de la rançon. Les experts évaluent cette part à environ 30 %. Le groupe alloue une partie de cette somme au perfectionnement de son infrastructure.

Ce système est tellement efficace que les propriétaires des infrastructures ont gagné près de 590 millions de dollars, rien que pour le premier semestre 2021, selon les estimations du réseau américain de lutte contre la criminalité financière. Pendant cette période d’étude, Conti a engrangé le plus de profit, loin devant ses concurrents tels que Darkside.

Conti est un groupe relativement récent. Apparu vers la fin de l’année 2020, le groupe se montre très agressif durant une courte période. Durant l’année 2021, les gains de Conti sont estimés à 180 millions de dollars.

Comme une entreprise classique, un PDG se trouve à sa tête sous le pseudonyme Demon d’après le journal Wired UK. Mango est son bras droit, il faut le considérer comme un directeur général. L’effectif des « employés » tourne autour d’une centaine de personnes. Pour recruter ses membres, Conti utilise les plateformes de recrutement classiques.

Le salaire dépend des tâches. Les développeurs classiques gagnent entre 1500 et 2000 dollars. De leur côté, ceux qui négocient les rançons avec les cibles touchent un pourcentage du gain.

Ses actions attirent aussitôt l’attention des autorités. Le département d’Etat américain annonce une récompense de 15 millions de dollars à quiconque qui a des informations sur les membres du groupe dès mai 2022.

Les opérations de Conti reposent entièrement sur les logiciels de rançon. Ces malwares cryptent les données des cibles, les rendant inutilisables. Le groupe demande de l’argent en échange de la clé de décryptage.

Conti possède également une triste réputation dans les demandes de rançon plus élevées et la double extorsion. Le groupe ne se limite pas au cryptage des données de sa cible. Il recherche également les données importantes comme les propriétés intellectuelles et les informations commerciales sensibles. Il menace ensuite de les divulguer si la victime ne paie pas.

Pour atteindre sa cible, Conti mène des attaques sophistiquées qui commencent souvent par le spear phishing. Cela lui permet d’infiltrer les réseaux et de déployer ensuite son ransomware.

Conti utilise des malwares très sophistiqués, indétectables par les logiciels antivirus classiques. Il innove en parallèle aux mesures prises dans la cybersécurité.

Malgré son existence de courte période, Conti réussit à extorquer des millions de dollars à ses victimes. Cela fait de lui le groupe de hackers le plus lucratif des années 2020. Même si le groupe n’est affilié à aucun État, les recherches estiment que ses membres opèrent depuis la Russie. Des soupçons qui seront confirmés par les déclarations du groupe en 2022 sur son soutien à la guerre en Ukraine.

Contrairement aux autres groupes de cybercriminels, Conti ne vise pas un secteur en particulier. Ses cibles sont très diversifiées. En première ligne, on retrouve les prestataires de soins de santé et les établissements d’enseignement. Les agences gouvernementales ne sont pas épargnées également, sans parler des entreprises du secteur privé.

La première attaque médiatisée de Conti visait Acellion (actuel Kiteworks), une société technologique américaine qui sécurise les communications sensibles de plusieurs entreprises. Ainsi, l’attaque a compromis plusieurs organisations.

Conti s’en est également pris au service de santé irlandais en mai 2021. L’attaque a paralysé le système de santé du pays pendant quelques jours. Le même scénario s’est également produit en Nouvelle Zélande.

Entre janvier et novembre 2021, Conti se montre relativement actif en menant des attaques intensives aux Etats-Unis. D’après Trend Micro, il s’agit du pays le plus touché devant Taiwan et les Pays-Bas.

Alors que la Russie s’engage dans une guerre contre l’Ukraine en février 2022, Conti déclare qu’il apporte tout son soutien au régime de Vladimir Poutine. Cette déclaration intervient le lendemain de l’invasion.

Ce soutien a précipité la fin de groupe. En effet, un utilisateur caché sous le pseudo Contileaks révèle toutes les communications internes de Conti. Les avis divergent sur l’auteur de ce post. Certains estiment qu’il s’agit d’un expert en cybersécurité ukrainien, d’autres estiment que c’est un affilié mécontent du soutien à la guerre. Résultat, plus de 100 000 fichiers sont publiés. L’ampleur de la fuite est telle que les médias l’ont nommé « Panama Papers du ransomware ».

Les mois suivant ces divulgations, le modèle commercial « RaaS » de Conti s’effondre. Néanmoins, le groupe réussit toujours quelques coups d’éclats à l’instar de l’attaque des réseaux du gouvernement costaricien.

Dès mai 2022, Conti n’existe plus sur Internet, tous ses sites ne fonctionnent plus. Si certains spéculent sur une crainte des répercussions des sanctions imposées à la Russie, la véritable raison reste méconnue à ce jour.

Pour les experts en cybersécurité, la fin de Conti est une bataille gagnée, mais la guerre se poursuit contre ces groupes. En effet, lorsqu’un groupe est dissout, ses membres rejoignent un nouveau groupe ou fondent eux-mêmes leur propre organisation. Ils se replient et agissent sous un nouveau nom.