Attaquer un pays, le Costa Rica, forcer son président à décréter l’état d’urgence, pour une simple diversion. C’est ce dont se serait rendu coupable le collectif de cybercriminels Conti, selon Yelisey Bogusalvskiy et Vitali Kremez, chercheurs en cybersécurité. Le but de l’opération serait de se réorganiser en coulisse et se débarrasser d’une identité désormais trop lourde à porter. Conti serait officiellement mort le 19 mai.

Règle n°1 du cybercriminel russophone, ne pas se mêler de politique

Conti News, le site public du collectif à l’air tout ce qu’il y a de plus actif. Les données volées aux victimes sont toujours indiquées en cours d’acheminement. Le post consacré au Costa Rica a été actualisé le 21 mai 2022, une quinzaine d’autres sont apparus le 23 mai. Pourtant, Yelisey Bogusalvskiy, d’Advanced Intelligence (AdvIntel) estime qu’il s’agit d’une simple façade.

Il a indiqué le 19 mai que « la fonction opérationnelle cruciale de Conti News, qui consistait à télécharger de nouvelles données afin d’intimider les victimes pour qu’elles paient, n’existe plus, car toute l’infrastructure liée aux négociations, aux téléchargements de données et à l’hébergement des données volées a été fermée ».

Pour le chercheur cela va plus loin. Cette fermeture ne serait pas « une décision spontanée », mais bien « un geste calculé, dont les signes étaient évidents depuis la fin avril ». Le groupe Conti, adepte des rançongiciels, a acquis en 2022 une notoriété inédite aux yeux du grand public.

Créé à l’été 2020, le collectif a réalisé plusieurs coups médiatiques. Le premier a été une attaque contre le système de santé irlandais. Il avait fini par donner une clef de déchiffrement gracieusement. Le groupe est considéré comme celui ayant généré le plus de revenus en 2021.

C’est l’invasion de l’Ukraine pour la Russie qui va définitivement l’exposer. Chose rare dans le milieu, le groupe se prononce ouvertement en faveur de la Russie au début du conflit. Cela ne plaît pas à certains de ses membres, Ukrainiens ou Russes anti-guerre, et 170 000 messages internes fuites rapidement.

Malgré un rétropédalage, le business de Conti va devenir bien plus délicat à mener. Il contrevient à une règle tacite des cybercriminels russophones : ne pas intervenir dans les affaires de l’État pour éviter d’attirer l’attention de Moscou. Le FSB, le renseignement intérieur du pays, aurait fait pression sur le groupe.

Désormais « Conti » sent le soufre. Selon AdvIntel les rançons sont de moins en moins payées. Les victimes occidentales craignent une double peine, se faire extorquer de l’argent par les cybercriminels d’un côté, être puni par leur gouvernement pour avoir contourné les sanctions internationales de l’autre. Le 6 mai 2022, le département d’État américain propose 10 millions de dollars pour démanteler le groupe.

Conti veut faire des petits

Conti, conscient de la toxicité de sa marque, va se réorganiser pour s’en émanciper. AdvIntel rapporte avoir détecté les préparatifs de l’attaque contre le Costa Rica dès le 14 avril. Les autorités locales ont été prévenues le lendemain, quelques jours avant les premiers incidents.

Cette opération, Conti souhaite qu’elle se sache. Les déclarations politiques, discrètes à la suite du positionnement pro-russes, reprennent de plus belle. Sur les forums spécialisés, le collectif se vante d’être plus en forme que jamais. De fait, le président du Costa Rica a dû placer son pays en état d’urgence nationale le 8 mai 2022.

Selon AdvIntel, tout ça serait en réalité le chant du cygne de Conti. Pendant que quelques membres se montrent, le reste efface ses traces et reforme des groupes plus petits et discrets, « L’attaque contre le Costa Rica a en effet placé Conti sous les feux de la rampe et l’a aidé à maintenir l’illusion de la vie pendant un peu plus longtemps, alors que la véritable restructuration était en cours », expliquent les chercheurs en cybersécurité.

Ces groupes ont été classés en plusieurs catégories par Advintel. Certains sont autonomes, semi-autonomes, d’autres totalement indépendants, les derniers enfin s’intègrent à d’autres cybercriminels pour récupérer leur identité, des « fusions-acquisitions ».

tableau sur Conti

Représentation de la réorganisation de Conti. Crédit : AdvIntel

Les membres de ses groupes resteraient soudés et loyaux à la direction de Conti et notamment à « reshaev », une figure du collectif, aussi bon codeur qu’organisateur. Plus horizontaux et décentralisés, les anciens semblent travailler entre eux et rester relativement fermés aux autres cybercriminels d’après AdvIntel. L’esprit Conti devrait survivre à la disparition du groupe en tant que tel.