Selon les dernières nouvelles, même les cybercriminels ne sont pas à l’abri d’une violation de données. Au fait, l’un des groupes de cybercriminels les plus prospères, Conti, vient de subir une fuite d’informations.
Les ransomwares sont en général des groupes de cybercriminels qui kidnappent les données de grandes entreprises. Ils exigent après une rançon pour leurs récupérations. C’est exactement ce qui est arrivé à Conti, un groupe ransomware très actif. En effet, il a récemment vu ses données exposées au grand jour. D’après les ouï-dire, cette fuite s’explique par un conflit de négociation entre le groupe et un de ses partenaires. En quelques minutes, plusieurs des documents et guides de formations du groupe ransomware Conti ont été dévoilés sur un forum. Cette violation de données a suscité la curiosité de plus d’un : qui en est l’auteur et pourquoi ?
Groupe Ransomware Conti : que s’est-il passé ?
La semaine dernière, le groupe ransomware Conti a dû faire face à une violation de données. En d’autres termes, un individu a divulgué ses informations sur le forum de cybercriminalité XXS. Selon The record, qui a été témoin de la fuite, il s’y retrouve plusieurs captures d’écrans ainsi qu’un manuel de formation. Les documents contiennent des données clés dont l’adresse IP de plusieurs serveurs utilisés pour héberger ses outils Cobalt Strike. Il s’agit d’un outil pentest souvent utilisé par les cybercriminels. Il s’y trouve aussi un ouvrage intitulé « Мануали для работяг и софт.rar », qui se traduit par « Manuel et logiciel du travailleur ».
En outre, la fuite a également révélé des archives qui comprenaient 37 documents textuels montrant l’utilisation de divers outils comme Cobalt Strike, Metasploit et Anydesk. La violation des données a donc exposé plusieurs stratégies employées par le groupe Ransomware lors de leurs attaques. Parmi les informations, il y a des tutoriels qui expliquent l’utilisation de faille, tels que Zerologon. À cela s’ajoutent des méthodes pour faciliter les mouvements latéraux au sein des systèmes informatiques infectés. Même si cette fuite ne révèle pas grand-chose de nouveau, elle permet tout de même de mettre en lumière le fonctionnement de ces groupes.
Groupe Ransomware Conti : trahi de l’intérieur
Soulignons qu’afin de mieux cerner le fond du problème, il faut comprendre le fonctionnement de « Ransomware as a service ». En fait, ces groupes de cybercriminels sont composés d’un nombre réduit d’opérateurs à la tête du programme. D’une part, il y en a ceux qui s’occupent des négociations et des récupérations de données et d’autre part, un grand nombre d’assassins qui se chargent de compromettre le système. Les rançons récoltées sont ensuite distribuées entre les membres du groupe. D’après Bleeping Computer, 20 à 30 % de l’argent amassé seraient réservés aux opérateurs à la tête du groupe. Quant au reste, il serait réparti entre chaque membre qui a participé à la compromission du système de la victime.
Dans le cas présent, l’une des théories sur la fuite des données présume qu’il s’agirait d’un membre mécontent qui n’aurait reçu que 1500 dollars. Ainsi, non satisfait de son dû, il aurait décidé de diffuser les documents confidentiels du groupe. Néanmoins, Bleeping Computer cite une source anonyme qui présente une autre théorie. Selon cette dernière, le cybercriminel à l’origine de l’attaque en question serait un membre du groupe Conti, qui a été banni. Il a sans doute été surpris en train de promouvoir un autre Ransomware concurrent, ce qui aurait mené à son expulsion.
