Passer au contenu

30 failles, 2,7 milliards de dollars de rançons : une fuite historique dévoile les dessous d’un redoutable ransomware

En février 2022, un hacker du gang Conti a divulgué des milliers de messages internes du gang. Quatre ans plus tard, une enquête de la BBC révèle comment ce collectif a exploité plus de trente failles de sécurité connues pour extorquer 2,7 milliards de dollars à ses victimes.

Début 2022, une fuite d’ampleur est venue frapper l’industrie du ransomware. Le 27 février 2022, au lendemain de l’invasion russe de l’Ukraine, le collectif Conti a publiquement affiché son soutien à Moscou. Peu après les premières frappes russes, un message indiquant que « l’équipe Conti annonce officiellement un soutien total au gouvernement russe » est apparu sur le site du gang sur le dark web.

« Si quelqu’un décide d’organiser une cyberattaque ou des activités de guerre contre la Russie, nous allons utiliser toutes nos ressources possibles pour riposter », s’engageait le groupe criminel, actif depuis 2020.

Cette prise de position a provoqué une fracture internePlusieurs hackers du gang n’ont pas apprécié la prise de position des dirigeants de Conti. En réaction, un membre ukrainien du groupe a divulgué des milliers de messages internes sur la messagerie Jabber. Tous les échanges des pirates entre janvier 2021 et février 2022 ont été diffusés sur Internet, et analysés de près par les chercheurs et les autorités. Plus de 300 000 communications secrètes sont concernées.

Baptisée ContiLeaks, la fuite a offert un aperçu inédit du fonctionnement interne d’un des groupes de ransomware les plus lucratifs au monde. Ce type de fuite reste très rare dans l’univers des cybercriminels, au sein duquel la discrétion prime. 

À lire aussi : Ce ransomware IA peut mener une cyberattaque sans l’aide d’un être humain… enfin presque

Plus de 30 failles exploitées par Conti

Quatre ans après les faits, nos confrères de la BBC se sont penchés en détail sur les données divulguées. Dans le cadre d’un podcast d’investigation, le média britannique s’est surtout intéressé aux vulnérabilités exploitées par Conti pour arriver à ses fins. On y apprend que la grande majorité des attaques orchestrées par Conti ont exploité des vulnérabilités déjà connues et documentées, et non des failles zero day inédites.

En décortiquant ces conversations divulguées, les chercheurs interrogés par la BBC ont dressé une liste de plus de trente vulnérabilités différentes, toutes exploitées par Conti et ses affiliés pour s’infiltrer chez leurs victimes. Citons notamment Log4Shell, une faille critique dans la bibliothèque Log4j, découverte en 2021. La fuite évoque aussi une faille dans le protocole Windows SMBv3, le protocole qui permet aux ordinateurs Windows de partager fichiers, imprimantes et autres ressources sur le réseau, et dans Microsoft Exchange Server, le logiciel de messagerie professionnelle utilisé par des milliers d’entreprises et d’administrations à travers le monde. En exploitant ces diverses défaillances, le gang a extorqué plus de 2,7 milliards de dollars de rançons.

À lire aussi : Le « Google » des fuites de données – ce moteur de recherche recense les infos personnelles de millions de Français

La crypto, une cible de choix pour les hackers

Les messages internes de Conti mettent aussi en lumière une série de vulnérabilités dans le monde des cryptomonnaies. Sans surprise, le secteur des cryptomonnaies était une cible de choix pour les cybercriminels de Conti. Les échanges divulgués montrent que les affiliés du ransomware ciblaient volontiers les entreprises du secteur blockchain, car les rançons étaient presque toujours payées en bitcoin, ce qui arrangeait évidemment les pirates. Les bitcoins étaient immédiatement convertis en liquidités sans passer par les circuits bancaires traditionnels. On peut parler d’un véritable cercle vicieux. Plus une entreprise manipule des cryptoactifs, plus elle devient une cible pour les hackers spécialisés dans l’extorsion.

Comme le souligne la BBC, la fuite a aussi permis de remonter jusqu’au fondateur de Conti, un hacker qui se fait appeler Conti. Le pirate a disparu pendant une longue période dans l’espoir de brouiller les pistes. Ce n’est qu’en mai 2025, trois ans plus tard, que la police allemande a identifié Stern comme étant Vitaly Nikolaïevitch Kovalev, un cybercriminel russe déjà dans le viseur des autorités américaines, britanniques et d’Interpol. L’homme vit toujours en Russie, à l’abri des forces de police. La Russie refuse en effet d’extrader les pirates qui se trouvent sur son territoire.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.

Source : BBC