Conti, l’un des acteurs de la menace de ransomware les plus célèbres au monde, est en train de se séparer – mais il y a très peu de raisons de se réjouir.
Comme l’ont rapporté les chercheurs en cybersécurité d’Advanced Intel, l’infrastructure interne du groupe, y compris les volets d’administration Tor utilisés pour la publication et les négociations de contenu, a été fermée. Quoi de plus, BipOrdinateur a constaté que d’autres services internes (tels que les serveurs de chat de fusée) sont également mis hors service.
Mais cela ne signifie pas que les personnes derrière le nom vont complètement abandonner le monde de la cybercriminalité. Au lieu de cela, ils s’associeront à d’autres groupes de ransomwares plus petits, créant ainsi toute une série de groupes de ransomwares, tous relevant d’une personne centrale.
En « guerre » avec le Costa Rica
Non seulement ils continueront à attaquer les entreprises partout dans le monde, mais leur division en entités semi-autonomes les rendra plus agiles et, par conséquent, une plus grande menace.
Parmi les groupes auxquels les membres de Conti ont uni leurs forces figurent HelloKitty, AvosLocker, Hive, BlackCat, BlackByte et d’autres, selon Advanced Intel. De plus, de nouveaux groupes autonomes ont été constitués, dont les principaux objectifs seront l’exfiltration de données. Certains d’entre eux sont Karakurt, BlackByte et le collectif Bazarcall.
Conti est l’un des groupes de cybercriminalité les plus connus au monde. C’est l’un des premiers groupes à exprimer publiquement son soutien à l’invasion russe de l’Ukraine, qui n’a pas plu à nombre de ses partenaires et pairs. D’autres groupes de rançongiciels et acteurs de la menace ont fini par publier son code source et ses chats internes en ligne.
À l’heure actuelle, Conti est engagé dans une véritable cyber-guerre avec le gouvernement du Costa Rica, frappant 27 institutions gouvernementales, dont des municipalités, des services publics et le ministère des Finances, lors d’une récente attaque.
Cependant, les chercheurs pensent que l’attaque était une « façade d’opération en direct » alors qu’elle pivote vers des entités plus petites.
« Le seul objectif que Conti avait voulu atteindre avec cette attaque finale était d’utiliser la plate-forme comme un outil de publicité, réalisant sa propre mort et sa renaissance ultérieure de la manière la plus plausible qui aurait pu être conçue », indique le rapport d’Advanced Intel.
Via : BleepingComputer