Quelques jours après que le groupe de rançongiciels Conti a diffusé un message pro-russe prêtant allégeance à l’invasion continue de l’Ukraine par Vladimir Poutine, un chercheur en sécurité anonyme en utilisant le pseudo Twitter @ContiLeaks a divulgué les discussions internes du syndicat.
Le vidage de fichier, publié par un groupe de recherche sur les logiciels malveillants VX-Métrocontiendrait 13 mois de journaux de discussion entre les affiliés et les administrateurs du groupe de rançongiciels affilié à la Russie de juin 2020 à février 2022, dans un mouvement qui devrait offrir sans précédent aperçu dans les rouages de l’entreprise criminelle.
« Gloire à l’Ukraine », a déclaré le bailleur dans son message.
Les conversations partagées montrent que Conti a utilisé de fausses sociétés écrans pour tenter de programmer des démonstrations de produits avec des sociétés de sécurité comme CarbonBlack et Sophos afin d’obtenir des certificats de signature de code, les opérateurs travaillant dans des sprints Scrum pour terminer les tâches de développement logiciel.
De plus, les messages confirmer l’arrêt du botnet TrickBot la semaine dernière ainsi que la relation étroite du groupe Conti avec les gangs de logiciels malveillants TrickBot et Emotet, ce dernier ayant été ressuscité à la fin de l’année dernière via TrickBot.
Un message envoyé par l’un des membres du groupe le 14 février 2022 dit : « TrickBot ne fonctionne pas. Le projet a été fermé. »
En plus de cela, le bailleur aurait également publié le code source associé aux modules de répartiteur de commandes et de collecteur de données de TrickBot, sans parler de la documentation interne du groupe de rançongiciels, de son panneau d’administration et d’une archive protégée par mot de passe contenant le code source pour le décrypteur et le constructeur.
 |
| Source : Émilio Gonzalez (@res260) |
 |
| Source : Émilio Gonzalez (@res260) |
Le développement intervient alors que Conflit russo-ukrainien a scindé la cybercriminalité souterraine en deux factions belligérantes, avec un nombre croissant d’acteurs du piratage prendre parti entre les deux pays sur le front numérique.
L’équipe Conti, dans un article de blog sur son portail Web sombre la semaine dernière, a déclaré son « plein soutien » à l’invasion russe et a menacé de riposter contre les infrastructures critiques si la Russie était frappée par des cyberattaques ou des attaques militaires.
Cependant, plus tard, il a fait marche arrière en disant : « nous ne nous allions avec aucun gouvernement et nous condamnons la guerre en cours », mais a réitéré que « nous utiliserons nos ressources pour riposter si le bien-être et la sécurité des citoyens pacifiques seront en jeu à cause de la cyberagression américaine. »
le ContiLeaks saga fait partie d’un effort plus large des hacktivistes et des alliés de la sécurité, y compris «l’armée informatique» ukrainienne, pour frapper les sites, les services et les infrastructures russes en réponse aux frappes militaires du Kremlin. Le groupe de piratage bénévole, dans des messages partagés sur sa chaîne Telegram, a affirmé que plusieurs sites Web et portails en ligne d’État russes avaient été abattus par un barrage d’attaques DDoS.
Par ailleurs, un groupe de hackers biélorusses connus sous le nom de Cyber Partisans déclaré ils ont organisé une attaque contre le réseau ferroviaire du pays dans le but de perturber les mouvements de troupes russes vers l’Ukraine, tandis qu’un autre groupe a appelé ContreL’Ouest_ a déclaré qu’il « s’opposait à la Russie » et qu’il avait violé un certain nombre de sites Web et d’entreprises.
L’Anonyme, pour sa part, a également revendiqué la responsabilité pour avoir perturbé les sites Web des agences de presse d’État RT, TASS et RIA Novosti, ainsi que les sites Web des journaux Kommersant, Izvestiya et du magazine Forbes Russia et du géant pétrolier russe Gazprom.
Au contraire, la cyber-guerre en évolution rapide semble avoir mis d’autres groupes en alerte, avec les opérateurs de rançongiciels LockBit affectation un message neutre, déclarant « Pour nous, ce ne sont que des affaires et nous sommes tous apolitiques. Nous ne sommes intéressés que par l’argent pour notre travail inoffensif et utile. »
La chaîne de « attaques de masse» par des groupes de pirates informatiques au milieu de l’intensification de l’attaque militaire russe contre l’Ukraine présente un « nouveau risque d’escalade de la crise », a déclaré Matt Olney, directeur du renseignement sur les menaces et de l’interdiction chez Cisco Talos.
« Les sept derniers jours ont créé un environnement sauvage d’entités gouvernementales, de pigistes affiliés et d’acteurs et d’affiliés semi-légitimes de la cyberattaque, tous chassés par une juste colère nationaliste », a ajouté Olney. « Les gouvernements recherchent des volontaires pour mener des cyberattaques contre l’opposition. Cela présente un risque mondial énorme car le potentiel de débordement hostile est immense. »
