On pense que de nombreux membres de Conti sont basés en Russie ou dans les régions environnantes. Pendant des années, le Kremlin a largement fermé les yeux sur les cybercriminels basés dans le pays, ce qui en fait une base pour plusieurs groupes de rançongiciels. Les fichiers Conti divulgués ont révélé que certains membres de haut niveau du gang semblent avoir des liens avec l’État russe et les services de sécurité. Les membres du groupe ont discuté de leur travail sur des sujets «politiques» et de la connaissance des membres du groupe de piratage russe Cozy Bear, également connu sous le nom de Advanced Persistent Threat 29.
“Conti a publiquement reconnu ses liens avec des gouvernements étrangers, en particulier son soutien au gouvernement russe”, a déclaré le major de l’US Air Force Katrina Cheesman, porte-parole de la Cyber National Mission Force. “Sur la base de ses liens avec Conti et d’autres indicateurs, il est estimé que les dirigeants du groupe criminel organisé connu sous le nom de Wizard Spider ont probablement un lien avec des entités gouvernementales à l’intérieur de la Russie”, ajoute Cheesman.
Depuis la fuite des fichiers Conti début mars, plusieurs entreprises de cybersécurité se sont penchées sur les documents. On pense que le professeur, qui est inclus dans l’appel à informations du programme de récompense et est également impliqué dans Trickbot, supervise une grande partie du déploiement du ransomware et est un “acteur important” dans l’opération, selon les experts en sécurité. Dans d’autres cas, plusieurs surnoms en ligne utilisés par les acteurs du groupe Conti peuvent, en fait, faire référence à la même personne.
Outre les fichiers Conti, il y a eu d’autres fuites du syndicat de la cybercriminalité au sens large. Plus tôt cette année, un compte Twitter appelé Trickleaks a commencé à publier les noms présumés et les détails personnels des membres de Trickbot. Le doxxing, qui n’a pas été vérifié de manière indépendante mais qui serait au moins en partie exact, montre des photos de membres présumés et leurs comptes de médias sociaux, les détails de leur passeport, etc.
Jeremy Kennelly, responsable principal de l’analyse de la criminalité financière au sein de la société de cybersécurité Mandiant, affirme que la poursuite des actions contre Conti et Trickbot est “essentielle” pour aider à empêcher les groupes de rançongiciels de gagner de l’argent et d’attaquer les entreprises. « Retirer l’anonymat des acteurs clés, offrir des primes, saisir des fonds illicites et faire des déclarations publiques d’intention sont des actions importantes qui peuvent contribuer à augmenter les risques réels et perçus de s’engager dans des opérations de ransomware et peuvent finalement conduire à un effet paralysant chez certains acteurs criminels. et/ou des organisations », déclare Kennelly.
Les responsables de Rewards for Justice annoncent qu’ils publieront leur appel à informations sur les membres de Conti dans plusieurs langues et exhortent les gens à entrer en contact via un lien Tor. Tous les conseils qu’ils reçoivent seront vérifiés et tout prospect doit passer plusieurs étapes avant qu’un paiement ne soit effectué. Ils disent qu’il est théoriquement possible que plusieurs récompenses de 10 millions de dollars puissent être émises. Les responsables ciblent spécifiquement les espaces en ligne en langue russe, affirmant que les détails de la récompense seront publiés sur le réseau social russe VK et également sur les forums de piratage.
Au cours des dernières semaines, les activités de Conti ont diminué, car on pense que le groupe tente de changer de nom suite à la fuite de ses discussions internes. Cependant, de nombreux membres sont toujours considérés comme actifs et impliqués dans d’autres efforts de cybercriminalité. Ces types d’attaques de ransomwares peuvent avoir un impact énorme sur les entreprises et la société en général.
“Bien qu’il ne s’agisse pas de groupes parrainés par des États, ils mènent régulièrement des attaques aussi percutantes que n’importe quel groupe d’États-nations, et ils doivent être traités comme tels”, déclare Allan Liska, analyste pour la société de sécurité Recorded Future, spécialisée dans les ransomwares. . « Cela ne conduira probablement pas à l’arrestation de membres de Conti, à moins qu’aucun d’entre eux ne soit assez stupide pour mettre le pied hors de Russie. L’intelligence qui pourrait être recueillie grâce à cette récompense pourrait s’avérer inestimable.
