Des échanges entre membres du gang de rançongiciels Conti ont été révélés après que la direction du groupe a annoncé soutenir Vladimir Poutine dans son offensive contre l’Ukraine.
Des hackers victimes d’un hack ! Tout part d’une annonce, celle du groupe de rançongiciels Conti, derrière les malwares TrickBot et Emotet, qui a ouvertement soutenu l’offensive militaire de Vladimir Poutine. Les pirates menaçant par la même occasion de mener plusieurs attaques contre des infrastructures critiques des opposants à Moscou. « L'équipe Conti annonce officiellement un soutien total au gouvernement russe. Si quelqu'un décide d'organiser une cyberattaque ou des activités de guerre contre la Russie, nous allons utiliser toutes nos ressources possibles pour riposter ».
Arroseur arrosé
Mais la direction aurait peut-être dû prendre la température dans ses rangs avant de publier son message. D’après la société de cybersécurité Hold Security, un hackeur ukrainien membre de Conti, sans doute échaudé par cette prise de position, a divulgué un cache contenant un an de messages internes du groupe sur la messagerie instantanée open source Jabber. Mettant à jour une masse de données inédite sur le fonctionnement interne du groupe.
Les informations révèlent que Conti compte au moins 341 membres. On été identifiées plus de 200 adresses Bitcoins, pour un montant total de 13 millions de dollars. Le média américain The Record a dévoilé que les discussions contiennent des adresses Bitcoins et des paiement effectués à Conti, ainsi que des négociations entre le groupe et des entreprises victimes de ransomwares. Les échanges semblent également confirmer une chaîne de commandement reliant Conti au Service fédéral de sécurité de la fédération de Russie (FSB). Sous ordre du principal service de renseignement russe, Conti aurait tenté de pirater un contributeur de Bellingat, un groupe international indépendant de chercheurs, d'enquêteurs et de journalistes.
Ce sont aussi des serveurs informatiques et des adresses IP utilisées par le groupe qui ont été divulguées. Les données ont également mis à jour des conversations sur des outils de cybersécurité, peut être dans une optique de rétro ingénierie. Depuis, les hackeurs de Conti ont corrigé leur déclaration et affirment qu’ils « ne s'allient à aucun gouvernement » et qu'ils « condamnent la guerre en cours ».
Escalade
Même son de cloche chez Lockbit, concurrent de Conti, qui a lui aussi joué la carte de la neutralité, déclarant : « pour nous, ce ne sont que des affaires et nous sommes tous apolitiques », ajoutant que le groupe ne ciblerait pas les infrastructures occidentales. Les hacktivistes eux, en revanche, n’ont pas hésité à prendre les armes… informatiques celles-ci. Un groupe opérant depuis la Biélorussie a perturbé les mouvements des unités militaires biélorusses en route vers l’Ukraine en fermant certaines lignes de chemins de fer du pays. Un compte twitter affilié aux Anonymous a quant à lui déclaré que le collectif était « officiellement en cyberguerre contre le gouvernement russe ». Le groupe a depuis revendiqué des attaques de type DDoS et des piratages de sites web de médias gouvernementaux russes.
Côté Russe aussi les hackeurs jouent du clavier. Le réseau satellitaire ViaSat, assurant la connexion internet pour des centaines de milliers d’européens a été victime d’une cyberattaque, une heure seulement après l’annonce par Poutine de l’offensive en Ukraine.