Dans les cuisines du gang de cybercriminels Conti

Une semaine après qu'un chercheur ukrainien en sécurité a fait fuiter les journaux de discussion Jabber du gang à l'origine du rançongiciel Conti suite à l'invasion de son pays par l'armée russe, on commence à en savoir un peu plus sur le fonctionnement du groupe.

Pour rappel, Conti avait en effet initialement annoncé « son plein soutien à l'attaque du gouvernement russe contre l'Ukraine », précisant que « si quelqu'un organisait une cyberattaque contre la Russie, le gang Conti riposterait contre les infrastructures critiques ».

Réalisant que plusieurs membres de Conti soutenaient l'Ukraine, le groupe avait ensuite prestement remplacé son message par un autre plus modéré, déclarant qu'ils « ne s'allient à aucun gouvernement » et qu'ils « condamnent la guerre en cours ».

Mais le mal était fait, et plus de 60 000 conversations internes ont fuité. Depuis, @contileaks est apparu sur Twitter où il a partagé de nombreux autres fichiers, dont une partie du code source du rançongiciel, agrémentés de « fuck russian inviders! » et autres « Glory for Ukraine! »

L'un des pires groupes de l'histoire de la cybercriminalité

Apparu en 2020, Conti aurait engrangé un chiffre d'affaires annuel de 100 millions de dollars, et employait « plus de 100 salariés ». Il propose un « ransomware-as-a-service » : les affiliés s'inscrivent pour distribuer le rançongiciel et les bénéfices des attaques réussies sont partagés, précise DataBreach Today.

Il a été développé par un groupe de cybercriminalité russe de longue date connu sous le nom de Wizard Spider, rappelle CrowdStrike. On pense que le groupe est responsable du code malveillant/botnet TrickBot ainsi que des souches de rançongiciels Ryuk et BazarLoader, ce qui en ferait l'un des pires groupes de l'histoire de la cybercriminalité.

Parmi ses victimes les plus connues figure le Health Service Executive d'Irlande en mai 2021. Le service de santé, qui n'a pas payé la rançon et avait appelé son armée à l'aide, a récemment déclaré avoir dépensé 48 millions de dollars pour se remettre de l'attaque, et estimé que le chiffre pourrait encore atteindre 110 millions de dollars.

Conti est du genre agressif, et ne lâche pas ses victimes. Si elles refusent de payer la rançon, Conti divulgue certaines de leurs données sensibles sur son site Web pour faire pression. De plus, et quand bien même l'organisation disposerait de sauvegardes et d'un plan de reprise après sinistre, elle serait toujours confrontée à la perte de données, et donc fortement incitée à payer cette seconde rançon.

La fuite rendra difficile la poursuite de Conti, explique à DataBreach Brett Callow, analyste des menaces chez Emsisoft, une société de sécurité basée en Nouvelle-Zélande qui aide les organisations à se remettre des rançongiciels :

« Je serais surpris si Conti s'en remettait. La fuite est dévastatrice pour eux et, potentiellement, pour toute personne liée à eux. Les affiliés se demanderont pendant combien de temps l'opération a été compromise et si des informations ont été obtenues qui pointent vers eux. »

Le plus grand risque lié à la fuite serait dès lors que les affiliés et autres cybercriminels ne veuillent peut-être plus travailler avec un gang dont l'infrastructure a été infiltrée par des chercheurs en cybersécurité.

D'autres analystes estiment qu'il est encore trop tôt pour savoir si la fuite de données signifiera la fin de Conti, à mesure qu'il s'est déjà remis de plusieurs actions des forces de l'ordre ayant affecté ses opérations.

En pleine pandémie, Conti ciblait les hôpitaux

Brian Krebs, le journaliste d'investigation spécialiste des rançongiciels, a ainsi découvert que son fonctionnement avait en effet déjà été entravé en septembre 2020, lorsque la NSA avait pris le contrôle du botnet Trickbot, régulièrement utilisé par de nombreux groupes de cybercriminels, dont Conti, pour déployer leurs logiciels malveillants.

La NSA avait alors réussi à envoyer à tous les systèmes Windows infectés une commande afin de les déconnecter des serveurs Internet de Trickbot. Si l'attaque n'avait été rendue publique que début octobre, le gang avait détecté que quelque chose n'allait pas quelques heures seulement après la compromission, comme le montre ce message de Hof, pseudonyme de l'un des dirigeants du gang, datant du lendemain de l'attaque :

« Celui qui a fait ça l'a très bien fait. Il savait comment fonctionnait le bot, c'est-à-dire qu'il avait probablement vu le code source, ou l'avait retro-ingénieré. De plus, il a en quelque sorte chiffré la configuration, c'est-à-dire qu'il avait un encodeur et une clé privée, et a tout téléchargé sur le panneau d'administration. C'est juste une sorte de sabotage. »

Hof relevait également que l'intrus avait même réussi à mettre à genoux le mécanisme de récupération sécurisé de Trickbot. Le botnet avait en effet été configuré, précise Krebs, de sorte qu'en cas d'inaccessibilité des serveurs de contrôle, les bots puissent néanmoins être récupérés en enregistrant un nom de domaine précalculé sur EmerDNS, un système de noms de domaine décentralisé basé sur la monnaie virtuelle Emercoin.

Conti mit plusieurs semaines à reconstruire son infrastructure, et infecter des dizaines de milliers de nouveaux systèmes Microsoft Windows. Fin octobre 2020, il dénombrait ainsi 428 établissements médicaux à travers les États-Unis.

Les chefs du gang voulaient en effet créer une panique généralisée, et semer le chaos, en déployant simultanément leur rançongiciel dans des centaines d'organisations de santé américaines déjà aux prises avec la pandémie de Covid-19, comme l'écrivait Target, l'un des pontes de Conti :

« Fuck les cliniques aux États-Unis cette semaine; Il y aura de la panique. 428 hôpitaux. »

Le 28 octobre, le FBI et le département américain de la Sécurité intérieure avaient d'ailleurs organisé à la hâte une conférence téléphonique avec des dirigeants de l'industrie de la santé les avertissant d'une « menace imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ».

Un leader de la sécurité de l'information dans le secteur de la santé avait cela dit expliqué à Krebs qu'il n'était pas rare que le secteur voie au moins un hôpital ou un établissement de santé touché par un ransomware chaque jour, et que ce « carnage » n'était donc apparemment pas bien pire qu'une semaine typique dans le secteur de la santé.

La figure maternelle des jeunes cybercriminels de Conti

La seconde entrave ayant affecté Conti correspond à la prise de contrôle d'Emotet, une autre souche prolifique de logiciels malveillants et plate-forme de cybercriminalité « as a service » largement utilisée par Conti, par une opération internationale en janvier 2021.

Découvert pour la première fois en tant que cheval de Troie bancaire en 2014, le malware était devenu une « solution incontournable » pour les cybercriminels au fil des ans, leur permettant d'acheter des accès non autorisés pour déployer d'autres activités illicites telles que le vol de données, et y installer d'autres types de logiciels malveillants (chevaux de Troie bancaires, ransomwares, etc.).

Le groupe avait de nouveau dû se réorganiser, ses membres étant obligés d'opter pour de nouveaux pseudos et mots de passe. Les journaux montrent en outre que Conti avait également été affecté par l'arrestation d'Alla Witte, une lettone de 55 ans, développeuse web du bot net Trickbot inculpée aux États-Unis en juin 2021.

• Une développeuse web risque 87 années de prison

Les chats indiquent que Witte était devenue une sorte de figure maternelle pour de nombreux jeunes membres de Conti, et qu'après son arrestation, la direction du gang avait cherché à trouver un moyen de payer sa défense judiciaire.

Une défense pas forcément si désintéressée : après s'être félicité d'avoir trouvé un avocat disposant d'excellentes relations, qui connaissait l'enquêteur et le juge, l'un des membres du gang, Mango, proposait de lui racheter des informations sur l'enquête en cours.

La police russe aurait aussi protégé Conti

Krebs souligne également la proximité de certains membres du gang avec des enquêteurs de police russe. En octobre 2021, les sources russes de Conti leur faisaient en effet savoir que l'enquête de police judiciaire les visant avait été ravivée. « Notre ancienne affaire a été reprise », écrivait ainsi Kagas à Stern, l'un des pontes de Conti, le 6 octobre 2021 :

« L'enquêteur a expliqué pourquoi elle a été reprise : les Américains ont officiellement demandé des informations sur les pirates russes, pas seulement sur nous, mais en général et dans tout le pays. En fait, ils s'intéressent au Trickbot, et à quelques autres virus. L'enquêteur nous a appelés pour une conversation, mais pour l'instant, c'est comme témoins. Comme ça si l'affaire est suspendue, ils ne peuvent en aucun cas nous interroger. Nous avons déjà contacté nos avocats. »

De façon somme tout « incroyable », écrit Krebs, un autre membre de Conti intervient dans la discussion pour préciser que le groupe a été assuré que l'enquête n'irait nulle part du côté russe, et que toute l'enquête des enquêteurs locaux serait close d'ici la mi-novembre 2021.

Les enquêteurs russes auraient été plus intéressés par un concurrent de premier plan de Conti, REvil, tout aussi impitoyable que lui, et dont 14 membres ont effectivement été arrêtés en janvier 2022 par le Service fédéral de sécurité russe (FSB) en réponse à une demande de responsables américains.

De nombreux experts, précise Krebs, « pensent que la répression faisait partie d'un stratagème cynique pour apaiser (ou distraire) les inquiétudes du public au sujet des actions belliqueuses de Vladimir Poutine dans les semaines précédant son invasion de l'Ukraine ».

Employés sous pression et factures impayées

Au 18 juillet 2021, le gang Conti employait 62 personnes, relève Krebs dans un second article consacré à la répartition des tâches dans le groupe, « principalement des codeurs de logiciels malveillants de bas niveau et des testeurs de logiciels ». Plus de 50 codeurs auraient ainsi été chargés de faire évoluer et d'améliorer les rançongiciels.

Pour autant, leurs effectifs « semble avoir énormément fluctué d'un mois sur l'autre », notamment parce qu'à plusieurs reprises, l'organisation a été forcée de licencier de nombreux employés par mesure de sécurité à la suite de problèmes de sécurité internes.

Le 30 juillet 2021, la masse salariale était passée à 87 employés, les recrutements étant encore en cours, l'objectif étant alors d'en embaucher une centaine de plus. La plupart étaient payés, en Bitcoin, l'équivalent de 1000 à 2000 $ par mois.

Un tarif pas si élevé, au vu des revenus du gang, entraînant un « turn-over » important, d'autant que leurs tâches semblent répétitives, monotones, mais également du fait que les éléments les plus brillants étaient approchés par des recruteurs de rançongiciels concurrents.

Si « Conti est peut-être sans précédent parmi les groupes de rançongiciels », écrit Krebs, « le gang Conti a perdu le contrôle d'innombrables bots à cause d'un simple oubli ou d'une erreur », notamment dues à toute la logistique afférente à la maintenance du ransomware.

Les employés se plaignaient régulièrement, et même « plusieurs fois par semaines », de factures impayées pour des serveurs virtuels et autres ressources basées dans le cloud, enregistrements de noms de domaine et abonnements VPN.

Les managers de Conti étaient de leur côté « hyper conscients que leurs employés traitaient des données incroyablement sensibles et précieuses volées aux entreprises, des informations qui se vendraient comme des petits pains sur les forums clandestins de cybercriminalité », écrit Krebs dans un troisième article dédié aux aspects offensifs du rançongiciel.

Or, souligne-t-il, « dans une entreprise dirigée par des escrocs, la confiance ne vient pas facilement ». Les employés étaient dès lors très surveillés, et pas seulement ceux chargés de récupérer ou transférer les rançons collectées, suscitant un climat de défiance rampant.

Près de 3 milliards de dollars en Bitcoin, et une demande du FSB

Comme le souligne Catalin Cimpanu sur The Record, les messages contiennent également de nombreuses négociations de rançons et des paiements d'entreprises qui n'avaient jusque là pas reconnu avoir été affectées par le rançongiciel, et qui avaient payé Conti pour garantir leur silence.

On y trouve aussi des centaines d'adresses bitcoin « qui s'avéreront sans aucun doute utiles aux organismes chargés de l'application de la loi cherchant à suivre les revenus du groupe ».

Le chercheur en cybersécurité Dancho Danchev a de son côté répertorié les centaines de pseudos, adresses bitcoin, mails, jabber, et IP extraites de la fuite de données.

Chainalysis, une société qui traque et documente les échanges de cryptomonnaies, estimait début février que Conti avait été le plus gros profiteur de tous les rançongiciels en 2021, ayant extorqué « au moins 180 millions de dollars » à ses victimes en cette seule année.

L'analyse des portefeuilles bitcoin qui ont depuis fuité révèle cela dit que le gang aurait au total amassé environ 65 500 bictoins, soit l'équivalent de 2,8 milliards de dollars au cours actuel.

Wizard Spider, le groupe qui serait derrière Conti et ses pairs, était depuis des années dans le viseur d'Europol et d'Interpol, le FBI et la NSA ayant même publié un communiqué conjoint, en septembre 2021, au sujet de Conti. À l'époque, ils dénombraient 400 cyberattaques ciblant des organisations américaines et internationales. Fin février, le chiffre a été réévalué à « plus de 1000 ».

Les messages qui ont fuité révèlent en outre que Conti était également en contact avec le FSB, qui lui aurait demandé de s'attaquer à l'un des contributeurs du collectif BellingCat qui avait identifié les espions russes chargés d'assassiner l'opposant Alexei Navalny.

Here is the chat between two conti hackers (h/t @HarioMenkel) pic.twitter.com/xwfpShAnbr

— Christo Grozev (@christogrozev) February 28, 2022