Discussion :

[Sandra Coret]

L’organisation interne et les méthodes de recrutement du groupe de ransomware Conti révélées, certains employés ignorent faire partie d'une organisation cybercriminelle, selon Check Point Research

Après avoir analysé des documents qui ont fuité, Check Point Research (CPR) donne de nouvelles informations sur les opérations internes de Conti, le célèbre groupe russe de ransomware. Conti est organisé comme une entreprise du secteur de la tech, avec des fonctions de management, de finance et de ressources humaines. Conti recrute aussi bien dans l'underground qu’auprès de sources légitimes, piochant dans des banques de CV sans autorisation. Certains employés de Conti ignorent faire partie d'une organisation cybercriminelle. CPR révèle également que Conti a prévu de créer une plateforme de crypto-monnaies et un réseau social darknet.

• CPR illustre à l’aide d’un graphique la structure organisationnelle de Conti, en mettant en évidence les groupes et personnes clés.
• Le groupe Conti possède plusieurs bureaux physiques, notamment en Russie.
• L'équipe RH de Conti propose des primes mensuelles, le titre d'employé du mois et des revues de performance.

Check Point Research (CPR) a obtenu de nouvelles informations concernant les opérations internes du groupe ransomware Conti. Conti est un groupe de ransomware-as-a-service (RaaS), qui permet aux membres affiliés de louer l'accès à son infrastructure pour lancer des attaques. Les experts du secteur affirment que Conti est basé en Russie et pourrait avoir des liens avec les services secrets russes. Conti a été accusé d'avoir lancé des attaques de ransomware ciblant des dizaines d'entreprises, dont le géant du vêtement Fat Face et Shutterfly, ainsi que des infrastructures critiques, comme le service de santé irlandais et d'autres réseaux de premiers secours.

Le 27 février dernier, une série de registres de chat appartenant à Conti a été publiée en ligne par un soi-disant informateur, qui prétendait s'opposer au soutien du groupe à l'invasion de l'Ukraine par la Russie. CPR a analysé les fichiers qui ont fuité, et a découvert que le groupe de ransomware fonctionnaient comme une grande entreprise du secteur de la tech. Conti a un département de ressources humaines, une procédure d'embauche, des bureaux, paie ses salariés et propose des primes.

1. Conti fonctionne comme une entreprise du secteur de la tech

• Une vraie structure hiérarchique
  
  i. Des chefs d'équipe responsables devant la direction supérieure
  
  ii. Principaux groupes observés : Ressources humaines, codeurs, testeurs, cryptographes, administrateurs système, ingénieurs inversés, équipe offensive, spécialistes OSINT et personnel de négociation.
  
  iii. CPR a identifié le nom des principales personnes impliquées : Stern (le grand patron), Bentley (chef technique), Mango (responsable des questions générales), Buza (responsable technique), Target (responsable des codeurs et de leurs produits), Veron alias Mors (point central des opérations du groupe avec Emotet).
  
  
• Des bureaux physiques en Russie
  
  i. Le groupe Conti possède plusieurs bureaux physiques. Ils sont gérés par « Target », l'associé de Stern et responsable effectif de la gestion du bureau, qui est également responsable des salaires, de l'équipement technique du bureau, du processus d'embauche chez Conti et de la formation du personnel. En 2020, les bureaux off-line ont été principalement utilisés par les testeurs, les équipes offensives et les négociateurs ; Target mentionne 2 bureaux dédiés aux opérateurs qui parlent directement avec les représentants des victimes.
  
  ii. En août 2020, un bureau supplémentaire a été ouvert pour les administrateurs de systèmes et les programmeurs, sous la responsabilité de « Professeur », qui est responsable de tout le processus technique de sécurisation de l'infection d'une victime.
  
  
• Un système de rémunération : primes mensuelles, amendes, employé du mois, évaluations des performances
  
  i. Les membres de l'équipe de négociation de Conti (y compris les spécialistes OSINT) sont payés par des commissions, calculées en pourcentage du montant de la rançon payée qui varie de 0,5 à 1 %. Les codeurs et certains des responsables reçoivent un salaire en bitcoins, transféré une ou deux fois par mois.
  
  ii. Les employés de Conti ne sont pas protégés par leurs comités d'entreprise locaux et doivent donc supporter certaines pratiques dont les employés techs typiques sont exemptés, comme recevoir une amende pour des performances insuffisantes.
  
  iii. Même si les amendes sont surtout utilisées comme un moyen reconnu dans le département des codeurs, elles sont sporadiquement employées au gré des caprices des managers dans d'autres départements -- par exemple, dans le département informatique et DevOps, où une personne responsable du transfert d'argent a reçu une amende de 100 dollars pour un paiement manqué.

2. Les talents sont recrutés tant auprès de sources légitimes que clandestines

La ressource principale généralement utilisée par les ressources humaines de Conti pour recruter est les services de chasseurs de têtes russophones tels que headhunter.ru. Ils ont également utilisé d'autres sites comme superjobs.ru, mais avec apparemment moins de succès. Conti OPSec interdit de laisser des traces concernant les offres d'emploi pour les développeurs sur de tels sites Web, un règlement rigoureusement appliqué par l'un des plus hauts responsables, « Stern ».

Ainsi, pour embaucher des développeurs, Conti contourne le réseau d'offres d'emploi de headhunter.ru, accédant directement au réservoir de CV et contactant les candidats par e-mail. Vous vous demandez peut-être « pourquoi headhunter.ru propose-t-il un tel service ? », et la réponse c’est qu'ils ne le font pas. Conti a simplement « emprunté » l’éventail de CV sans autorisation, ce qui semble être une pratique courante dans le monde de la cybercriminalité.

3. Certains employés de Conti ne savent pas qu'ils travaillent pour une organisation cybercriminelle

Dans un entretien d'embauche en ligne, un responsable dit à un candidat potentiel pour l'équipe de codage : « Ici, tout est anonyme, la direction principale de l'entreprise est un logiciel pour les pentesters ».

Autre exemple, un membre du groupe connu sous le surnom de « Zulas », très probablement la personne qui a développé le backend de Trickbot dans le langage de programmation Erlang. Zulas est passionné par Erlang, il s'empresse de montrer des exemples de ses autres travaux et donne même son vrai nom. Lorsque son responsable mentionne que son projet « trick » (Trickbot) a été vu par « la moitié du monde », Zulas ne comprend pas la référence, appelle le système « lero » et révèle qu'il n'a aucune idée de ce que fait son logiciel et pourquoi l'équipe se donne tant de mal pour protéger l'identité des membres. Son interlocuteur lui dit qu'il travaille sur un backend pour un système d'analyse publicitaire.

4. Conti discute activement de ses futurs projets : la création d’une plateforme de crypto et d’un réseau social darknet

L'une des idées abordées était de créer une bourse de crypto-monnaies dans l'écosystème du groupe.

Un autre projet est celui du « réseau social darknet » (également : « VK for darknet » ou « Carbon Black for hackers »), un projet inspiré par Stern et réalisé par Mango, prévu pour être développé comme un projet commercial. En juillet 2021, Conti était déjà en contact avec un designer, qui a produit quelques maquettes.

Lotem Finkelstein, responsable de Threat Intelligence chez Check Point Software, explique : « Pour la première fois, nous avons eu la possibilité d’observer un groupe connu et qui est réputé pour être le visage des groupes de ransomwares. Conti se comporte comme une entreprise du secteur de la tech. Ce qui est alarmant, c'est que nous avons la preuve que les collaborateurs ne sont pas tous pleinement conscients d’appartenir à un groupe de cybercriminels. En d'autres termes, Conti a pu recruter des professionnels auprès de sources légitimes. Ces employés pensent qu'ils travaillent pour une agence de publicité, alors qu'en fait ils travaillent pour un groupe de ransomware notoire. Certains de ces employés découvrent la vérité et décident de rester, ce qui montre que l'équipe de direction de Conti a développé un processus pour retenir les employés. Conti a en effet développé une culture interne qui récompense les meilleurs salariés sur la base d’un système de prime et sanctionne les employés en cas de comportement indésirable. Nous constatons également que Conti dispose de bureaux en Russie. Nos recherches montrent que Conti a un fonctionnement interne digne des entreprises dites classiques. »

Source : Check Point Research

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Un membre mécontent du gang du ransomware "Conti" divulgue des fichiers internes, car il serait insatisfait de la façon dont l'argent de l'extorsion est réparti

Après avoir lancé une attaque au ransomware contre le service irlandais de santé et publié des documents médicaux, les cybercriminels donnent gratuitement des clés de déchiffrement

[Nancy Rey]

Une fuite de documents montre que le gang de pirates informatiques, Conti, aide Poutine dans l'ombre
et agit parfois dans l'intérêt de la Russie

Pendant des années, les groupes cybercriminels russes ont agi en quasi impunité. Le Kremlin et les forces de l'ordre locales ont largement fermé les yeux sur les attaques de ransomware perturbatrices tant qu'elles ne visaient pas les entreprises russes. Malgré la pression directe exercée sur Vladimir Poutine pour qu'il s'attaque aux groupes de ransomware, ceux-ci restent intimement liés aux intérêts de la Russie. Une récente fuite provenant de l'un des groupes les plus notoires de ce type donne un aperçu de la nature de ces liens. La portée et l'ampleur de cette fuite sont sans précédent ; jamais auparavant les rouages quotidiens d'un groupe de ransomware n'avaient été mis à nu

Le gang des ransomware Conti, ce réseau tentaculaire de cybercriminels a extorqué 180 millions de dollars à ses victimes l'année dernière, éclipsant les gains de tous les autres gangs de ransomware. L'implosion de Conti a commencé par un simple message sur le site Web du groupe, habituellement réservé à la publication des noms de ses victimes. Quelques heures après que les troupes russes ont franchi les frontières ukrainiennes le 24 février, Conti a offert son "soutien total" au gouvernement russe et a menacé de pirater les infrastructures critiques de quiconque oserait lancer des cyberattaques contre la Russie.

Mais si de nombreux membres de Conti vivent en Russie, son champ d'action est international. La guerre a divisé le groupe ; en privé, certains se sont élevés contre l'invasion de Poutine. D'autant plus que parmi les dizaines de personnes ayant accès aux fichiers et aux systèmes de discussion internes de Conti figurait un chercheur ukrainien en cybersécurité qui avait infiltré le groupe. Ils ont commencé à déchirer Conti. Le 28 février, un compte Twitter nouvellement créé, appelé @ContiLeaks, a publié plus de 60 000 messages de discussion échangés entre les membres du gang, son code source et des dizaines de documents internes de Conti. Ces discussions révèlent aussi comment les membres de Conti ont des liens avec le Service fédéral de sécurité (FSB) et une conscience aiguë des opérations des hackers militaires soutenus par le gouvernement russe.

Alors que le monde s'efforçait de faire face à l'apparition et aux premières vagues de la pandémie de COVID-19 en juillet 2020, les cybercriminels du monde entier ont tourné leur attention vers la crise sanitaire. Le 16 juillet de la même année, les gouvernements du Royaume-Uni, des États-Unis et du Canada ont publiquement accusé les pirates militaires russes soutenus par l'État d'avoir tenté de voler la propriété intellectuelle liée aux premiers vaccins candidats. Le groupe de pirates Cozy Bear, également connu sous le nom de Advanced Persistent Threat 29 (APT29), attaquait des entreprises pharmaceutiques et des universités en utilisant des logiciels malveillants modifiés et des vulnérabilités connues, ont déclaré les trois gouvernements.

Quelques jours plus tard, les dirigeants de Conti ont parlé du travail de Cozy Bear et ont fait référence à ses attaques par ransomware. Stern, la figure de proue de Conti, et Professor, un autre membre important du gang, ont parlé de la création d'un bureau spécifique pour les « sujets gouvernementaux ». Dans la même conversation, Stern a déclaré qu'ils avaient quelqu'un "d'externe" qui payait le groupe (bien qu'il ne soit pas précisé pour quoi) et a discuté de la reprise des cibles de la source. « Ils veulent beaucoup de choses sur Covid en ce moment », a dit Professor à Stern. « Les cosy bears sont déjà en train de se frayer un chemin vers le bas de la liste ».

« Ils font référence à la mise en place d'un certain projet à long terme et semblent lancer cette idée qu'ils [la partie externe] aideraient à l'avenir. Nous pensons qu'il s'agit d'une référence au fait que, si des mesures d'application de la loi étaient prises à leur encontre, cette partie externe pourrait les aider dans ce domaine », explique Kimberly Goody, directrice de l'analyse de la cybercriminalité à la société de sécurité Mandiant" Goody souligne que le groupe mentionne également l'avenue Liteyny à Saint-Pétersbourg, où se trouvent les bureaux locaux du FSB.

Si les preuves des liens directs de Conti avec le gouvernement russe restent évasives, les activités du gang continuent de s'inscrire dans le cadre des intérêts nationaux. Selon Allan Liska, analyste pour la société de sécurité Recorded Future : « l'impression qui se dégage des conversations divulgués est que les dirigeants de Conti ont compris qu'ils étaient autorisés à opérer tant qu'ils suivaient les directives tacites du gouvernement russe. Il semble qu'il y ait eu au moins quelques lignes de communication entre le gouvernement russe et les dirigeants de Conti ».

En avril 2021, Mango, un cadre clé de Conti qui aide à organiser le groupe, a demandé à Professor : « Est-ce qu'on travaille sur la politique ? », lorsque le Professeur a demandé plus d'informations, Mango a partagé les messages de conversations qu'ils avaient avec une personne utilisant le pseudonymes JohnyBoy77. Les deux hommes discutaient des personnes qui « travaillent contre la Fédération de Russie » et de l'interception potentielle d'informations les concernant. JohnyBoy77 a demandé si les membres de Conti pouvaient accéder aux données d'une personne liée à Bellingcat, les journalistes d'investigation open source qui ont dénoncé les hackers russes et les réseaux secrets d'assassins.

En particulier, JohnyBoy77 voulait des informations liées à l'enquête de Bellingcat sur l'empoisonnement du leader de l'opposition russe Alexey Navalny. Il a posé des questions sur les dossiers de Bellingcat sur Navalny, a évoqué l'accès aux mots de passe d'un membre de Bellingcat et a mentionné le FSB. En réponse aux conversations de Conti, le directeur exécutif de Bellingcat, Christo Grozevm, a tweeté que le groupe avait déjà reçu une information selon laquelle le FSB avait discuté avec un groupe de cybercriminels du piratage de ses contributeurs. « Je veux dire, on est des patriotes ou quoi ? », Mango a demandé au professeur à propos des fichiers. « Bien sûr que nous sommes des patriotes », ont-ils répondu.

Le patriotisme russe est une constante au sein du groupe Conti, dont beaucoup de membres sont basés dans le pays. Cependant, le groupe a une portée internationale, compte des membres en Ukraine et en Biélorussie, et entretient des liens avec des membres plus éloignés. Tous les membres du groupe ne sont pas d'accord avec l'invasion de l'Ukraine par la Russie, et les membres ont discuté de la guerre. « Avec la mondialisation de ces groupes de ransomware, ce n'est pas parce que la direction de Conti s'alignait bien sur la politique russe que les affiliés ressentaient la même chose », explique Liska.

Si les membres du groupe font référence à des intérêts ou des agences gouvernementales russes, il est peu probable qu'ils travaillent pour le compte d'officiels. Les membres dirigeants de Conti peuvent avoir des contacts, mais les codeurs et programmeurs de base ne sont probablement pas aussi bien connectés. « Je pense que c'est vraiment un sous-ensemble plus limité d'acteurs qui pourraient avoir ces relations directes, plutôt que les opérations du groupe dans son ensemble », dit Goody.

Depuis la publication des dossiers internes de Conti les 27 et 28 février, le groupe a continué à travailler. « Ils ont définitivement réagi. On peut voir sur les chats qu'ils fermaient certaines choses et passaient à des chats privés. Mais c'était vraiment du business comme d'habitude, déclare Jérôme Segura, directeur du renseignement sur les menaces à la société de sécurité Malwarebytes ». Le groupe a continué à publier les noms et les fichiers des victimes de ransomware sur son site Web dans les semaines qui ont suivi la fuite.

Le piratage de Conti se poursuit malgré l'utilisation par les chercheurs en sécurité des détails contenus dans les fuites de Conti pour potentiellement nommer les membres individuels du groupe. La plus grande menace pour le groupe, cependant, pourrait venir du gouvernement russe lui-même. Le 14 janvier, la Russie a pris sa mesure la plus importante à ce jour contre un gang de ransomware. Le FSB a arrêté 14 membres du groupe REvil après avoir reçu des informations de responsables américains, alors que le groupe était en sommeil depuis plusieurs mois. « Des mesures seront prises si les autorités russes estiment que les dirigeants de Conti n'ont plus d'utilité, mais si Conti est en mesure de poursuivre ses activités ou de changer de marque, il n'y aura probablement aucune action. Si des mesures sont prises, elles seront probablement similaires à celles prises contre les membres de REvil, avec une série d'arrestations voyantes, pour ensuite relâcher discrètement la plupart des personnes arrêtées un mois ou deux plus tard prévoit Liska.

Source : ContiLeaks

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi ?

L'organisation interne et les méthodes de recrutement du groupe de ransomware Conti révélées, certains employés ignorent faire partie d'une organisation cybercriminelle, selon Check Point Research

Un membre mécontent du gang du ransomware "Conti" divulgue des fichiers internes, car il serait insatisfait de la façon dont l'argent de l'extorsion est réparti

Après avoir lancé une attaque au ransomware contre le service irlandais de santé et publié des documents médicaux, les cybercriminels donnent gratuitement des clés de déchiffrement