Des chercheurs de Group-IB ont mis en exergue la redoutable efficacité et rapidité du groupe de pirates Conti. Un mois lui a suffi pour compromettre avec succès 40 entreprises.
Conti, qui a fait du rançongiciel sa spécialité, est aussi l’un des groupes de pirates parmi les plus agressifs. Après une brève période de sommeil, il avait refait parler de lui en avril dernier, après une attaque massive lancée contre les infrastructures du Costa-Rica. Plus récemment, un rapport de la société de cybersécurité Group-IB a démontré que Conti a compromis avec une grande efficacité pas moins de 40 entreprises entre le 17 novembre et le 20 décembre 2021.
Les attaques ont été menées sur une vaste zone géographique, avec un accent mis sur les Etats-Unis. « La plupart des attaques ont été perpétrées aux États-Unis (37 %), mais la campagne s'est également propagée à travers l'Europe, avec des victimes en Allemagne (3 %), en Suisse (2 %), aux Pays-Bas, en Espagne, en France, en République tchèque, en Suède et au Danemark (1% chacun). », notent les chercheurs. Des organisations des Émirats arabes unis et d’Inde ont également été visées.
Une société informatique à part entière
La campagne de piratage, baptisée ARMattack, est décrite comme l’une des « plus productives » et « efficaces » du groupe. L’une des attaques a duré à peine trois jours, du temps d'accès initial au chiffrement des systèmes de l'organisation.
Lors de cette campagne, Group-IB a analysé pour la première fois les heures de travail de Conti. Il en ressort que les pirates parviennent à être efficaces en un temps de travail (relativement) raisonnable. « L'horaire montre leur grande efficacité : en moyenne, Conti travaille 14 heures par jour sans jours fériés (sauf les "vacances du Nouvel An") et les week-ends. Le groupe commence à travailler plus près de midi (GMT+3) et son activité ne décline qu'après 21h00. »
Son efficacité s’explique par le fait que Conti crée ses propres outils « sans réutiliser les extraits de code ». Ce qui leur permet de passer entre les gouttes lorsque les codes sont comparés. Conti a également travaillé « en étroite collaboration avec d'autres opérateurs de rançongiciels tels que Ryuk, Netwalker, LockBit et Maze. » Autant d'échanges qui lui ont permis d’améliorer son propre ransomware. « L'une des caractéristiques distinctives de Conti est l'utilisation de nouvelles vulnérabilités, ce qui aide le groupe à obtenir un accès initial. » A comprendre, premier arrivé, premier servi. Au sein même de l'organisation, des équipes dédiées sont chargées de surveiller les mises à jour de Microsoft pour détecter lesdites vulnérabilités.
Sa puissance de frappe est telle, que Group-IB décrit le groupe comme une véritable société informatique à part entière. « L'activité accrue de Conti et la fuite de données suggèrent que les ransomwares ne sont plus un jeu entre développeurs de logiciels malveillants moyens, mais une industrie Ransomware-as-a-service (RaaS) illicite qui donne des emplois à des centaines de cybercriminels dans le monde entier avec diverses spécialisations. », relève Ivan Pisarev Responsable de l'équipe d'analyse dynamique des logiciels malveillants au sein du département Threat Intelligence de Group-IB.
En deux ans d’activité, ce ne sont pas moins de 859 victimes qui ont été identifiées sur le site du groupe dédié aux fuites. Un nombre sans doute sous-estimé fait remarquer Groupe-IB. Mais en dépit de sa force de frappe avérée, l’avenir du groupe reste quelque peu nébuleux. Affaibli en début d'année par la divulgation d’informations confidentielles, Conti s’était fait discret avant cet (ultime ?) coup d’éclat au Costa-Rica. Une campagne que certains observateurs interprètent comme une diversion, alors que le groupe tente, discrètement, de se restructurer.