Conti – qui utilise des logiciels malveillants pour bloquer l’accès aux données informatiques jusqu’à ce qu’une «rançon» soit payée – fonctionne un peu comme une entreprise de technologie ordinaire, disent les spécialistes de la cybersécurité qui ont analysé les documents divulgués du groupe.
eclipse_images
Un groupe russe identifié par le FBI comme l’un des groupes de rançongiciels les plus prolifiques de 2021 peut maintenant comprendre ce que cela fait d’être victime de cyberespionnage.
Une série de fuites de documents révèle des détails sur la taille, la direction et les opérations commerciales du groupe connu sous le nom de Conti, ainsi que sur ce qui est perçu comme son bien le plus précieux : le code source de son rançongiciel.
Shmuel Gihon, chercheur en sécurité au sein de la société de renseignement sur les menaces Cyberint, a déclaré que le groupe a émergé en 2020 et est devenu l’une des plus grandes organisations de ransomwares au monde. Il estime que le groupe compte environ 350 membres qui ont collectivement gagné quelque 2,7 milliards de dollars en crypto-monnaie en seulement deux ans.
Dans son « Internet Crime Report 2021 », le FBI a averti que le rançongiciel de Conti faisait partie des « trois principales variantes » qui ciblaient les infrastructures critiques aux États-Unis l’année dernière. Conti « a le plus souvent victimisé les secteurs critiques de la fabrication, des installations commerciales et de l’alimentation et de l’agriculture », a déclaré le bureau.
« Ils étaient le groupe le plus performant jusqu’à ce moment », a déclaré Gihon.
Contents
Acte de vengeance ?
Dans un article en ligne analysant les fuites, Cyberint a déclaré que la fuite semblait être un acte de vengeance, provoqué par un article modifié depuis par Conti publié à la suite de l’invasion de l’Ukraine par la Russie. Le groupe aurait pu rester silencieux, mais « comme nous le soupçonnions, Conti a choisi de se ranger du côté de la Russie, et c’est là que tout est allé vers le sud », a déclaré Cyberint.
Les fuites ont commencé le 28 février, quatre jours après l’invasion de l’Ukraine par la Russie.
Peu de temps après la publication, quelqu’un a ouvert un compte nommé « ContiLeaks » et a commencé à divulguer des milliers de messages internes du groupe aux côtés de déclarations pro-ukrainiennes.
Le compte a désactivé les messages directs, donc CNBC n’a pas pu contacter son propriétaire.
Le propriétaire du compte prétend être un « chercheur en sécurité », a déclaré Lotem Finkelstein, responsable du renseignement sur les menaces chez Check Point Software Technologies.
Le leaker semble s’être retiré de , écrivant le 30 mars : « Mes derniers mots… Rendez-vous tous après notre victoire ! » Gloire à l’Ukraine! »
L’impact de la fuite sur la communauté de la cybersécurité a été énorme, a déclaré Gihon, qui a ajouté que la plupart de ses collègues mondiaux ont passé des semaines à parcourir les documents.
La société américaine de cybersécurité Trellix a qualifié la fuite de « Panama Papers of Ransomware » et de « l’une des plus grandes » cyberenquêtes participatives « jamais vues ».
Hiérarchie organisationnelle classique
Conti est complètement clandestin et ne fait pas de commentaires aux médias comme, par exemple, Anonymous le fait parfois. Mais Cyberint, Check Point et d’autres cyberspécialistes qui ont analysé les messages ont déclaré qu’ils montrent que Conti fonctionne et est organisé comme une entreprise de technologie ordinaire.
Après avoir traduit de nombreux messages, qui ont été écrits en russe, Finkelstein a déclaré que la branche du renseignement de son entreprise, Check Point Research, a déterminé que Conti avait des fonctions claires de gestion, de finances et de ressources humaines, ainsi qu’une hiérarchie organisationnelle classique avec des chefs d’équipe qui relèvent de la haute direction. .
Il existe également des preuves d’unités de recherche et développement (« RND » ci-dessous) et de développement commercial, selon les conclusions de Cyberint.
Les messages montraient que Conti avait des bureaux physiques en Russie, a déclaré Finkelstein, ajoutant que le groupe pourrait avoir des liens avec le gouvernement russe.
« Notre … hypothèse est qu’une organisation aussi énorme, avec des bureaux physiques et des revenus énormes, ne serait pas en mesure d’agir en Russie sans l’approbation totale, voire une certaine coopération, des services de renseignement russes », a-t-il déclaré.
L’ambassade de Russie à Londres n’a pas répondu aux demandes de commentaires de CNBC. Moscou a précédemment nié avoir participé à des cyberattaques.
‘Employés du mois’
Check Point Research a également découvert que Conti a :
- Des salariés – dont certains sont payés en bitcoins – ainsi que des évaluations de performance et des opportunités de formation
- Des négociateurs qui perçoivent des commissions allant de 0,5% à 1% des rançons payées
- Un programme de recommandation d’employés, avec des primes accordées aux employés qui en ont recruté d’autres qui ont travaillé pendant au moins un mois, et
- Un « employé du mois » qui touche une prime égale à la moitié de son salaire
Contrairement aux entreprises honnêtes, Conti inflige des amendes à ses sous-performants, selon Check Point Research.
Les identités des travailleurs sont également masquées par des pseudonymes, tels que Stern (le « grand patron »), Buza (le « responsable technique ») et Target (« le partenaire de Stern et le responsable effectif des opérations de bureau »), a déclaré Check Point Research.
Messages traduits montrant des infractions passibles d’une amende à Conti.
Source : Recherche Check Point
« Lorsqu’ils communiquaient avec les employés, les cadres supérieurs soutenaient souvent que travailler pour Conti était l’affaire de toute une vie – des salaires élevés, des tâches intéressantes, une évolution de carrière (!) », Selon Check Point Research.
Cependant, certains des messages brossent un tableau différent, avec des menaces de résiliation pour ne pas avoir répondu assez rapidement aux messages – dans les trois heures – et des heures de travail pendant les week-ends et les jours fériés, a déclaré Check Point Research.
Le processus d’embauche
Conti embauche à la fois des sources légitimes, telles que les services de chasse de têtes russes, et la clandestinité criminelle, a déclaré Finkelstein.
De manière alarmante, nous avons des preuves que tous les employés ne sont pas pleinement conscients qu’ils font partie d’un groupe cybercriminel.
En avion Finkelstein
Technologies logicielles Check Point
L’embauche était importante car « sans surprise, le taux de roulement, d’attrition et d’épuisement professionnel était assez élevé pour les employés de bas niveau de Conti », a écrit Brian Krebs, un ancien journaliste du Washington Post, sur son site Web de cybersécurité KrebsOnSecurity.
Certaines embauches n’étaient même pas des informaticiens, selon Check Point Research. Conti a embauché des gens pour travailler dans les centres d’appels, a-t-il déclaré. Selon le FBI, la «fraude au support technique» est en augmentation, où les escrocs se font passer pour des entreprises bien connues, proposent de résoudre des problèmes informatiques ou d’annuler les frais d’abonnement.
Employés dans le noir
« De manière alarmante, nous avons des preuves que tous les employés ne sont pas pleinement conscients qu’ils font partie d’un groupe de cybercriminalité », a déclaré Finkelstein. « Ces employés pensent qu’ils travaillent pour une société de publicité, alors qu’en fait ils travaillent pour un groupe notoire de rançongiciels. »
Les messages montrent que les managers ont menti aux candidats à l’emploi sur l’organisation, l’un d’entre eux disant à une recrue potentielle : « Tout est anonyme ici, la direction principale de l’entreprise est un logiciel pour les pentesters » – faisant référence aux testeurs d’intrusion, qui sont des spécialistes légitimes de la cybersécurité qui simulent des cyberattaques contre les réseaux informatiques de leur propre entreprise.
Dans une série de messages, Stern a expliqué que le groupe a gardé les codeurs dans l’ignorance en les faisant travailler sur un module, ou une partie du logiciel, plutôt que sur l’ensemble du programme, a déclaré Check Point Research.
Si les employés finissent par comprendre, a déclaré Stern, on leur propose une augmentation de salaire pour rester, selon les messages traduits.
En bas mais pas sorti ?
Même avant la fuite, Conti montrait des signes de détresse, selon Check Point Research.
Stern est resté silencieux vers la mi-janvier et les paiements de salaire ont cessé, selon les messages.
Quelques jours avant la fuite, un message interne déclarait : « Il y a eu beaucoup de fuites, il y a eu… des arrestations… il n’y a pas de patron, il n’y a pas de clarté… il n’y a pas d’argent non plus… Je dois vous demander à tous de prendre un 2 -3 mois de vacances. «
Bien que le groupe ait été entravé, il augmentera probablement à nouveau, selon Check Point Research. Contrairement à son ancien rival REvil – dont les membres russes ont déclaré avoir été arrêtés en janvier – Conti est toujours « partiellement » en activité, a indiqué la société.
Le groupe a survécu à d’autres revers, notamment la désactivation temporaire de Trickbot – un programme malveillant utilisé par Conti – et l’arrestation de plusieurs associés présumés de Trickbot en 2021.
Malgré les efforts continus pour lutter contre les groupes de rançongiciels, le FBI s’attend à ce que les attaques contre les infrastructures critiques augmentent en 2022.
