Un chercheur ukrainien en sécurité a divulgué cette semaine plusieurs années de journaux de discussion internes et d’autres données sensibles liées à Conti, un groupe cybercriminel russe agressif et impitoyable qui se concentre sur le déploiement de son rançongiciel auprès d’entreprises dont le chiffre d’affaires annuel dépasse 100 millions de dollars. Les journaux de discussion offrent un aperçu fascinant des défis liés à la gestion d’une entreprise criminelle tentaculaire comptant plus de 100 employés salariés. Les dossiers donnent également un aperçu de la manière dont Conti a géré ses propres violations internes et attaques de sociétés de sécurité privées et de gouvernements étrangers.
Le message menaçant de Conti cette semaine concernant l’ingérence internationale en Ukraine.
Conti fait la une des journaux internationaux chaque semaine lorsqu’il publie sur son blog Web sombre de nouvelles informations volées à des victimes de rançongiciels qui refusent de payer une demande d’extorsion. En réponse à l’invasion de l’Ukraine par la Russie, Conti a publié une déclaration annonçant son « soutien total ».
« Si quelqu’un décide d’organiser une cyberattaque ou des activités de guerre contre la Russie, nous allons utiliser toutes nos ressources possibles pour riposter aux infrastructures critiques d’un ennemi », lit-on sur le blog de Conti.
Le dimanche 27 février, un nouveau compte Twitter «Contileaks» a publié des liens vers une archive de messages de chat extraits de l’infrastructure de communication privée de Conti, datant du 29 janvier 2021 à nos jours. En criant « Gloire pour l’Ukraine », le compte Contileaks a depuis publié d’autres conversations d’employés de Conti du 22 juin 2020 au 16 novembre 2020.
Le compte Contileaks n’a pas répondu aux demandes de commentaires. Mais Alex Holdenle fondateur d’origine ukrainienne de la société de cyber-renseignement basée à Milwaukee Garder la sécurité, a déclaré que la personne qui a divulgué l’information n’est pas un ancien affilié de Conti – comme beaucoup sur Twitter l’ont supposé. Au contraire, a-t-il dit, le bailleur est un chercheur ukrainien en sécurité qui a choisi de rester dans son pays et de se battre.
« La personne qui publie ceci est un Ukrainien et un patriote », a déclaré Holden. « Il voit que Conti soutient la Russie dans son invasion de l’Ukraine, et c’est au moins sa façon de les arrêter dans son esprit. »
ÉCART #1
Les écarts temporels dans ces enregistrements de chat correspondent à peu près aux moments où l’infrastructure informatique de Conti a été démantelée et/ou infiltrée par des chercheurs en sécurité, des entreprises privées, des forces de l’ordre et des agences de renseignement nationales. Les trous dans les journaux de discussion correspondent également à des périodes de calme relatif du groupe, alors qu’il cherchait à rétablir son réseau de systèmes infectés et à licencier son personnel de bas niveau par mesure de sécurité.
Le 22 septembre 2020, le Agence de sécurité nationale des États-Unis (NSA) a lancé une opération d’une semaine au cours de laquelle elle a pris le contrôle de la Botnet astucieux, une machine criminelle malveillante qui a infecté des millions d’ordinateurs et est souvent utilisée pour propager des rançongiciels. Conti est l’un des nombreux groupes de cybercriminalité qui ont régulièrement utilisé Trickbot pour déployer des logiciels malveillants.
Une fois en contrôle de Trickbot, les pirates de la NSA ont envoyé à tous les systèmes infectés une commande leur disant de se déconnecter des serveurs Internet que les seigneurs de Trickbot utilisaient pour contrôler les systèmes compromis. Microsoft Windows des ordinateurs. En plus de cela, la NSA a fourré des millions de faux enregistrements sur de nouvelles victimes dans la base de données Trickbot.
La nouvelle de la compromission de Trickbot a été publiée pour la première fois ici le 2 octobre 2020, mais les conversations Conti divulguées montrent que la direction centrale du groupe a détecté que quelque chose n’allait vraiment pas avec leur machine criminelle quelques heures seulement après la compromission initiale de l’infrastructure de Trickbot le 1er septembre. 22.
« Celui qui a fait cette poubelle l’a très bien fait », a écrit « Hof», le pseudonyme choisi par un haut dirigeant de Conti, commentant l’implant malveillant Trickbot qui a été fourni par la NSA et s’est rapidement propagé au reste du botnet. « Il savait comment fonctionnait le bot, c’est-à-dire qu’il avait probablement vu le code source, ou l’avait inversé. De plus, il a en quelque sorte chiffré la configuration, c’est-à-dire qu’il avait un encodeur et une clé privée, et a tout téléchargé sur le panneau d’administration. C’est juste une sorte de sabotage.
« De plus, les bots ont été inondés d’une telle configuration qu’ils fonctionneront simplement inactifs », a expliqué Hof à son équipe le 23 septembre 2020. Hof a noté que l’intrus a même mis à genoux le mécanisme de récupération intégré à sécurité intégrée de Trickbot. Trickbot a été configuré de sorte que si aucun des serveurs de contrôle du botnet n’était accessible, les bots pouvaient toujours être capturés et contrôlés en enregistrant un nom de domaine précalculé sur EmerDNSun système de noms de domaine décentralisé basé sur le Émercoin monnaie virtuelle.
« Au bout d’un moment, ils téléchargeront une nouvelle configuration via emercoin, mais ils ne pourront pas appliquer cette configuration, car ce saboteur a téléchargé la configuration avec le nombre maximum, et le bot vérifie que la nouvelle configuration doit être plus grande que le l’ancien », a écrit Hof. « Désolé, mais c’est foutu. Je ne sais pas comment les récupérer.
Il faudrait plusieurs semaines au gang Conti pour reconstruire son infrastructure de logiciels malveillants et infecter des dizaines de milliers de nouveaux systèmes Microsoft Windows. Fin octobre 2020, le réseau de systèmes infectés de Conti s’était développé pour inclure 428 établissements médicaux à travers les États-Unis. Les chefs du gang ont vu une opportunité de créer une panique généralisée – sinon aussi le chaos – en déployant simultanément leur rançongiciel dans des centaines d’organisations de santé américaines déjà aux prises avec une pandémie mondiale.
« Fuck les cliniques aux États-Unis cette semaine », a écrit le directeur de Conti « Target » le 26 octobre 2020. « Il y aura de la panique. 428 hôpitaux.
Le 28 octobre, le FBI et le Département américain de la sécurité intérieure a organisé à la hâte une conférence téléphonique avec des dirigeants de l’industrie de la santé avertissant d’une « menace imminente de cybercriminalité pour les hôpitaux et les prestataires de soins de santé américains ».
Des rapports de suivi ont confirmé qu’au moins une douzaine d’organisations de soins de santé avaient été touchées par des ransomwares cette semaine-là, mais le carnage n’était apparemment pas bien pire qu’une semaine typique dans le secteur de la santé. Un leader de la sécurité de l’information dans le secteur de la santé a déclaré à BreachTrace à l’époque qu’il n’était pas rare que l’industrie voie au moins un hôpital ou un établissement de santé touché par un ransomware chaque jour.
ÉCART #2
La lacune la plus récente dans les journaux de discussion Conti correspond à une opération internationale d’application de la loi du 26 janvier 2021 visant à prendre le contrôle de émoticône, une souche prolifique de logiciels malveillants et une plate-forme de cybercriminalité en tant que service largement utilisée par Conti. Après le retrait d’Emotet, le groupe Conti s’est à nouveau réorganisé, chacun étant obligé de choisir de nouveaux surnoms et mots de passe.
Les journaux montrent que Conti a fait un effort particulier pour aider l’un de ses membres les plus âgés – Tout Witte — une Lettone de 55 ans arrêtée l’année dernière parce qu’elle était soupçonnée de travailler comme programmeuse pour le groupe Trickbot. Les enregistrements de chat indiquent que Witte est devenue une sorte de figure maternelle pour de nombreux jeunes membres du personnel de Conti, et après son arrestation, la direction de Conti a commencé à trouver un moyen de payer sa défense juridique.
Site personnel d’Alla Witte — allawite[.]nl — vers octobre 2018.
« Ils m’ont donné un avocat, ils ont dit le meilleur, plus d’excellentes relations, il connaît l’enquêteur, il connaît le juge, il est avocat fédéral là-bas, licencié, etc., etc. », a écrit « Mangue» – un gestionnaire de niveau intermédiaire au sein de Conti – à « Stern », un chef de projet Conti beaucoup plus élevé qui demandait fréquemment à diverses unités du gang des mises à jour sur leurs missions quotidiennes.
Stern a convenu que c’était le meilleur plan d’action, mais on ne sait pas s’il a été mis en œuvre avec succès. En outre, l’ensemble du stratagème n’était peut-être pas aussi altruiste qu’il n’y paraissait : Mango a suggéré que le paiement des frais d’avocat de Witte pourrait également donner au groupe un accès interne à des informations sur l’enquête en cours du gouvernement sur Trickbot.
« Essayons de trouver un moyen de contacter son avocat dès maintenant et de lui proposer de vendre directement les données qui la contournent », suggère Mango à Stern le 23 juin 2021.
Le FBI enquête sur Trickbot depuis des années, et il est clair qu’à un moment donné, le gouvernement américain a partagé des informations avec les Russes sur les pirates qu’ils soupçonnaient d’être derrière Trickbot. Il ressort également de la lecture de ces journaux que les Russes n’ont pas fait grand-chose avec ces informations jusqu’en octobre 2021, lorsque les principaux généraux de Conti ont commencé à recevoir des informations de leurs sources russes chargées de l’application des lois indiquant que l’enquête était ravivée.
« Notre ancienne affaire a été reprise », a écrit le député de Conti « Kagas» dans un message à Stern le 6 octobre 2021. « L’enquêteur a expliqué pourquoi il a été repris : Les Américains ont officiellement demandé des informations sur les pirates informatiques russes, non seulement sur nous, mais en général sur qui a été pris dans tout le pays. En fait, ils s’intéressent au Trickbot, et à quelques autres virus. Mardi prochain, l’enquêteur nous a appelés pour une conversation, mais pour l’instant, c’est comme [we’re being called on as] les témoins. Comme ça si l’affaire est suspendue, ils ne peuvent en aucun cas nous interroger, et, en fait, à cause de cela, ils l’ont repris. Nous avons déjà contacté nos avocats.
Incroyablement, un autre membre de Conti intervient dans la discussion et dit que le groupe a été assuré que l’enquête n’ira nulle part du côté russe et que toute l’enquête des enquêteurs locaux serait close d’ici la mi-novembre 2021.
Il semble que les enquêteurs russes étaient plus intéressés à s’en prendre à un concurrent de premier plan de Conti – REvilun groupe de rançongiciels russe tout aussi impitoyable qui ciblait également principalement les grandes organisations susceptibles de payer d’importantes demandes de rançon.
Le 14 janvier 2022, le gouvernement russe a annoncé l’arrestation de 14 personnes accusées de travailler pour REvil. Le Service fédéral de sécurité russe (FSB) a déclaré que les mesures avaient été prises en réponse à une demande de responsables américains, mais de nombreux experts pensent que la répression faisait partie d’un stratagème cynique pour apaiser (ou distraire) les inquiétudes du public concernant les actions belliqueuses du président russe Vladimir Poutine en les semaines précédant son invasion de l’Ukraine.
Les messages Conti divulgués montrent que TrickBot a été effectivement fermé plus tôt ce mois-ci. Comme Catalin Cimpanu à Le dossier souligne, les messages contiennent également de copieuses négociations de rançon et des paiements d’entreprises qui n’ont pas divulgué de violation ou d’incident de ransomware (et qui ont en effet payé Conti pour garantir leur silence). De plus, il y a des centaines d’adresses bitcoin dans ces chats qui s’avéreront sans aucun doute utiles aux organismes chargés de l’application de la loi cherchant à suivre les bénéfices du groupe.
Ceci est la première de plusieurs histoires sur le fonctionnement interne de Conti, basée sur les enregistrements de chat divulgués. La partie II sera racontée à travers les messages privés échangés par les employés de Conti travaillant dans différentes unités opérationnelles, et elle explore certains des défis les plus uniques et persistants auxquels sont confrontées les organisations cybercriminelles à grande échelle aujourd’hui.