Que nous apprend la fuite de données Conti ?

Date : 07 Février 2022

Suite à l’entrée en guerre de la Russie contre l’Ukraine, le groupe de ransomware Conti a déclaré qu’il défendrait la Russie. Cela a fâché l’un des membres du groupe (probablement ukrainien) qui a décidé de publier des données internes du groupe via le compte Twitter @ContiLeaks. Il a tout d’abord publié des logs Jabber (le 18/02/2022) puis d’autres log, et enfin (le 02/03/2022) des codes sources des outils du groupe Conti. Il est possible que de nouveaux éléments soient publiés plus tard.

Vx-underground (un groupe qui maintient une base de données archivant les malwares) a repris l’ensemble de ces données et les a mis à disposition (en Russe) ici : https://share.vx-underground.org/Conti/

Des traductions en anglais de certaines parties ont aussi été publiées :

Il y a des données de toutes natures dans ces publications. Il pourrait être intéressant pour certaines entreprises de rechercher si leurs marques ou leurs noms y apparaissent. Cependant, d’après l'article [Marchive1] (listé ci-dessous en fin d'article) les victimes sont en principe désignées par un code plutôt que par leur nom.

 

Plusieurs journalistes ont analysé certaines de ces données et ont publié des articles sur ce sujet. Nous résumons dans la suite ce que nous apprennent les articles publiés par Brian Krebs (journaliste indépendant aux Etats-Unis) et Valéry Marchive (journaliste français pour LeMagIT.fr). Quelques éléments ont aussi été pris d’un article (très détaillé) publié par la société BreachQuest.com. Toutes les références sont données à fin de notre article.

Conti est considéré comme l’un des groupes de ransomware les plus actifs et les plus élaborés. Selon [Krebs4] il aurait généré un revenu de 180 millions de dollars en 2021 (montant des rançons perçues). Ces chiffres sont néanmoins difficiles à vérifier. Le rapport [BreachQuest] par exemple estime à 50 millions les montants perçus depuis septembre 2021, ce qui peut être extrapolé à 120 millions de dollars par an.

Le groupe Conti fait travailler une équipe de 80 à 100 personnes qui sont rémunérées mensuellement (ou 2 fois par mois, avec un salaire de l’ordre de 1000 ou 2000 dollars selon [Kreb2] ou 500 à 750 dollars selon [Marchive1]) pour des tâches assez fastidieuses (par exemple régénérer les binaires malveillants dès qu’ils sont détectés par l’antivirus Microsoft Defender). Il recrute sans arrêt de nouveaux employés parce que le turn-over est important. Le rapport [BreachQuest] a reconstitué un organigramme détaillé de la société.

Il y a de forts liens entre Conti (ransomware) et Trickbot (un botnet qui permet d’infecter de nouvelles machines). Il est même probable que Trickbot appartienne à Conti. Il y aussi des liens entre Conti et Emotet (un autre botnet) mais qui semblent moins fort.

Ruyk et Conti sont 2 groupes ransomwares indépendants mais ils utilisent des méthodes de travail tellement proches que l’on peut suspecter qu’ils ont des dirigeants en communs et partagent du savoir-faire.

Il y a des liens entre Conti et le gouvernement Russe. Selon Brian Krebs, le FBI demande depuis plusieurs années au gouvernement Russe des renseignements sur Trickbot. En octobre 2021 Trickbot a été prévenu que le gouvernement Russe commençait une enquête à la demande des Etats-Unis. Mais Trickbot a été largement épargné et le gouvernement Russe semble surtout avoir poursuivi le groupe REvil (un autre groupe de ransomware Russe). Des membres importants de REvil ont d’ailleurs été arrêtés en janvier 2022 par les autorités Russes.

Le gouvernement américain effectue depuis longtemps des opérations d’infiltration visant Trickbot. Une opération majeure a été menée en septembre 2020. Le démantèlement n’a pas réussi, mais l’infrastructure a été plusieurs fois malmenée et Trickbot a fini par arrêter son infrastructure en février 2022.

La gestion des plateformes Conti (l’achat d’outils, de VPN, génération de malware, etc..) occupe beaucoup de personnes et les achats de services et de produits sont multiples. Sont cités par exemple l’achat d’abonnements à Crunchbase Pro and Zoominfo (outils permettant d’avoir des renseignements financiers sur les victimes de Conti), l’achat de licences Cobalt Strike (outil d’attaque), le paiement d’abonnement à des plates-formes d’offre d’emploi (pour recruter), l’achat de logiciels de sécurité (pour chercher des vulnérabilités ou protéger les infrastructures). Le rapport [BreachQuest] estime que Conti dépense par an 6 millions de dollars en salaires, et en achat de logiciels ou de services.

 

Conclusion

Il n’y a pas de grande surprise dans ces articles. Ils montrent par exemple qu’un groupe de ransomware comme Conti a un fonctionnement comparable à une PME et que ces groupes ont des connexions avec le gouvernement Russe (quoiqu’il reste difficile de mesurer l’ampleur de ces connexions). Par contre ils contiennent de nombreux exemples et des anecdotes sur la vie quotidienne au sein de ces groupes.

 

Pour plus d’information

Article de TheRegister résumant la chronologie de la fuite de données :
https://www.theregister.com/2022/03/02/conti-source-code-leaked/ (02/03/22)

Articles publiés par Valéry Marchive :

Articles publiés par Brian Krebs :

Autres articles :

Anecdote sur la fuite du code source des outils Conti :
https://medium.com/@whickey000/how-i-cracked-conti-ransomware-groups-leaked-source-code-zip-file-e15d54663a8

Précedent Précedent Suivant Suivant Imprimer Imprimer