Un pirate dévoile les secrets d’un groupe de cybercriminels pro-russes

Un chercheur en sécurité ukrainien a divulgué les chats internes d’un groupe de pirates. Et ce, après que celui-ci se soit rangé du côté de la Russie au sujet de l’invasion de l’Ukraine.

La collaboration entre les hackers russes et ukrainiens est mise à mal depuis le début de l’invasion russe en Ukraine. En effet, plusieurs groupes de cybercriminels ont choisi de se positionner dans le conflit armé qui oppose les deux pays.

Conti est l’un des nombreux gangs qui ont choisi de se ranger du côté de la Russie. “L’équipe Conti annonce officiellement son soutien total au gouvernement russe”, a déclaré le groupe dans un message vendredi.

Un hacker pro-ukrainien
Un membre ukrainien du groupe Conti ransomware a divulgué les discussions internes du gang. Cela s’est passé après que les dirigeants du groupe ont publié un message pro-russe sur leur site officiel, vendredi dernier. Autrement dit, le lendemain de l’invasion de l’Ukraine par la Russie.

Les conversations datent du 29 janvier 2021 au 27 février 2022. Elles ont été envoyées à plusieurs journalistes et chercheurs en sécurité. Dont IntelligenceX, une société spécialisée dans la sécurité informatique. Dès réception de ces messages, la société a publié en libre accès les informations sur son site web en guise de collaboration.

Pour arriver à ses fins, le “révélateur” de Conti a piraté le serveur interne Jabber/XMPP du gang. Autrement dit, les échanges divulgués ont dont été réalisés sur la messagerie Jabber. Les messages divulgués donnent des détails sur des victimes jusqu’alors non divulguées, des adresses bitcoin, des URL de violations de données privées et des discussions sur les actions du groupe.

Les révélations
Concrètement, les données contiennent 339 fichiers JSON. Pour rappel, JSON, pour JavaScript Objet Notation, est un langage léger d’échange de données textuelles.

Chacun des fichiers est constitué du journal d’une journée complète. Ils révèlent que le gang compte jusqu’à 341 membres et détient environ 13 millions de dollars répartis sur, approximativement, 200 adresses Bitcoin. Ces adresses Bitcoin, sur lesquelles le gang Conti a reçu des paiements, vont servir de piste aux forces de l’ordre pour retrouver les profits du gang.

Des messages illustrent également la relation de Conti avec les gangs TrickBot et Emotet, d’où ils louaient souvent l’accès à des ordinateurs infectés pour déployer leurs maliciels.

“TrickBot s’appuie sur un système modulaire. Cela signifie que ses modules distincts peuvent être utilisés à des fins différentes, ce qui en fait un logiciel malveillant particulièrement flexible”, expliquent les chercheurs en sécurité d’Advintel.

Emotet est une sorte de malware. C’est lui était à l’origine un cheval de Troie bancaire conçu pour voler des données financières. Il “utilise des fonctionnalités semblables à celles utilisées par les vers pour se propager à d’autres ordinateurs connectés. Cela permet de mieux diffuser le malware”, explique Malwarebytes.

D’autres données montrent des messages contenant des négociations et des paiements de rançon provenant d’entreprises qui n’avaient pas annoncé officiellement de violation ou d’incident de ransomware.

Un groupe bien connu
Conti est l’un des plus grands groupes de cybercriminels contemporains. Il est à l’origine de nombreuses cyberattaques.

Pour rappel, durant ces derniers mois, le gang de hackers a déployé plusieurs malwares dangereux. À savoir TrickBot ou encore le virus Emotet. Mais le plus gros “succès” du groupe de pirates est le rançongiciel Conti. Il s’agit d’une menace présente au niveau mondial.

Le logiciel malveillant Conti cible ses victimes principalement en Amérique du Nord et en Europe occidentale. Il arrivait à ses fins en suivant la règle de la “double extorsion”. Selon cette dernière, le malware exfiltre d’abord les informations sensibles avant de procéder à leur chiffrement. Ensuite, pour inciter la victime de l’attaque à payer la rançon rapidement, les hackers menacent de divulguer publiquement ou de vendre les informations confidentielles volées sur le dark web.

D’après l’auteur de la fuite, les journaux Jabber/XMPP ne sont que la première partie d’un ensemble plus vaste de fichiers liés à Conti qu’il prévoit de publier à l’avenir.