Des documents de ransomware divulgués montrent que Conti aide Poutine dans l’ombre

Des documents de ransomware divulgués montrent que Conti aide Poutine dans l’ombre

19 mars 2022 0 Par Le Caiman
Des documents de ransomware divulgués montrent que Conti aide Poutine dans l'ombre

Pendant des années, les groupes cybercriminels russes ont agi avec une relative impunité. Le Kremlin et les forces de l’ordre locales ont largement fermé les yeux aux attaques de rançongiciels perturbatrices tant qu’elles ne ciblait pas les entreprises russes. Malgré la pression directe exercée sur Vladimir Poutine pour s’attaquer à groupes de rançongiciels, ils sont toujours intimement liés aux intérêts de la Russie. Une fuite récente de l’un des groupes de ce type les plus notoires donne un aperçu de la nature de ces liens – et à quel point ils peuvent être ténus.

Une cache de 60 000 messages et fichiers de chat divulgués du célèbre groupe de rançongiciels Conti donne un aperçu de la façon dont le gang criminel est bien connecté en Russie. Les documents, examinés par Fédération Caïman et mis en ligne pour la première fois fin février par un chercheur ukrainien anonyme en cybersécurité ayant infiltré le groupe, montrent comment Conti opère au quotidien et ses ambitions cryptographiques. Ils révèlent probablement en outre comment les membres de Conti ont des liens avec le Service fédéral de sécurité (FSB) et une conscience aiguë des opérations de Les hackers militaires soutenus par le gouvernement russe.

Alors que le monde luttait pour faire face à l’épidémie et aux premières vagues de la pandémie de COVID-19 en juillet 2020, les cybercriminels du monde entier ont tourné leur attention vers la crise sanitaire. Le 16 juillet de cette année-là, les gouvernements du Royaume-Uni, des États-Unis et du Canada a publiquement dénoncé les pirates militaires russes soutenus par l’État pour avoir tenté de voler la propriété intellectuelle liée aux premiers vaccins candidats. Le groupe de piratage Ours douilletégalement connu sous le nom de Advanced Persistent Threat 29 (APT29), attaquait les entreprises pharmaceutiques et les universités en utilisant des logiciels malveillants modifiés et des vulnérabilités connues, ont déclaré les trois gouvernements.

Quelques jours plus tard, les dirigeants de Conti ont parlé du travail de Cozy Bear et ont fait référence à ses attaques de ransomware. Stern, la figure de PDG de Conti, et le professeur, un autre membre senior du gang, ont parlé de la création d’un bureau spécifique pour les « sujets gouvernementaux ». Les détails étaient signalé pour la première fois par Fédération Caïman en février mais sont également inclus dans les fuites Conti plus larges. Dans la même conversation, Stern a déclaré qu’ils avaient quelqu’un « de l’extérieur » qui a payé le groupe (bien qu’il ne soit pas précisé pourquoi) et a discuté de la prise en charge des cibles de la source. « Ils veulent beaucoup de Covid en ce moment », a déclaré le professeur à Stern. « Les ours douillets sont déjà en train de se frayer un chemin vers le bas de la liste. »

« Ils font référence à la mise en place d’un projet à long terme et rejettent apparemment cette idée qu’ils [the external party] aiderait à l’avenir », déclare Kimberly Goody, directrice de l’analyse de la cybercriminalité au sein de la société de sécurité Mandiant. « Nous pensons que c’est une référence si des mesures d’application de la loi seraient prises contre eux, que cette partie externe pourrait être en mesure de les aider avec cela. » Goody souligne que le groupe mentionne également Liteyny Avenue à St. Saint-Pétersbourg – la maison de bureaux locaux du FSB.

Bien que les preuves des liens directs de Conti avec le gouvernement russe restent insaisissables, les activités du gang continuent de s’aligner sur les intérêts nationaux. « L’impression des discussions divulguées est que les dirigeants de Conti ont compris qu’ils étaient autorisés à opérer tant qu’ils suivaient les directives tacites du gouvernement russe », explique Allan Liska, analyste pour la société de sécurité Recorded Future. « Il semble y avoir eu au moins quelques lignes de communication entre le gouvernement russe et les dirigeants de Conti. »