Après avoir analysé des documents qui ont fuité, Check Point Research (CPR) donne de nouvelles informations sur les opérations internes de Conti, le célèbre groupe russe de ransomware. Conti est organisé comme une entreprise du secteur de la tech, avec des fonctions de management, de finance et de ressources humaines. Conti recrute aussi bien dans l'underground qu’auprès de sources légitimes, piochant dans des banques de CV sans autorisation. Certains employés de Conti ignorent faire partie d'une organisation cybercriminelle. CPR révèle également que Conti a prévu de créer une plateforme de crypto-monnaies et un réseau social darknet.- CPR illustre à l’aide d’un graphique la structure organisationnelle de Conti, en mettant en évidence les groupes et personnes clés.
- Le groupe Conti possède plusieurs bureaux physiques, notamment en Russie.
- L'équipe RH de Conti propose des primes mensuelles, le titre d'employé du mois et des revues de performance.
Check Point Research (CPR) a obtenu de nouvelles informations concernant les opérations internes du groupe ransomware Conti. Conti est un groupe de ransomware-as-a-service (RaaS), qui permet aux membres affiliés de louer l'accès à son infrastructure pour lancer des attaques. Les experts du secteur affirment que Conti est basé en Russie et pourrait avoir des liens avec les services secrets russes. Conti a été accusé d'avoir lancé des attaques de ransomware ciblant des dizaines d'entreprises, dont le géant du vêtement Fat Face et Shutterfly, ainsi que des infrastructures critiques, comme le service de santé irlandais et d'autres réseaux de premiers secours.
Le 27 février dernier, une série de registres de chat appartenant à Conti a été publiée en ligne par un soi-disant informateur, qui prétendait s'opposer au soutien du groupe à l'invasion de l'Ukraine par la Russie. CPR a analysé les fichiers qui ont fuité, et a découvert que le groupe de ransomware fonctionnaient comme une grande entreprise du secteur de la tech. Conti a un département de ressources humaines, une procédure d'embauche, des bureaux, paie ses salariés et propose des primes.
1. Conti fonctionne comme une entreprise du secteur de la tech
- Une vraie structure hiérarchique
i. Des chefs d'équipe responsables devant la direction supérieure
ii. Principaux groupes observés : Ressources humaines, codeurs, testeurs, cryptographes, administrateurs système, ingénieurs inversés, équipe offensive, spécialistes OSINT et personnel de négociation.
iii. CPR a identifié le nom des principales personnes impliquées : Stern (le grand patron), Bentley (chef technique), Mango (responsable des questions générales), Buza (responsable technique), Target (responsable des codeurs et de leurs produits), Veron alias Mors (point central des opérations du groupe avec Emotet). - Des bureaux physiques en Russie
i. Le groupe Conti possède plusieurs bureaux physiques. Ils sont gérés par « Target », l'associé de Stern et responsable effectif de la gestion du bureau, qui est également responsable des salaires, de l'équipement technique du bureau, du processus d'embauche chez Conti et de la formation du personnel. En 2020, les bureaux off-line ont été principalement utilisés par les testeurs, les équipes offensives et les négociateurs ; Target mentionne 2 bureaux dédiés aux opérateurs qui parlent directement avec les représentants des victimes.
ii. En août 2020, un bureau supplémentaire a été ouvert pour les administrateurs de systèmes et les programmeurs, sous la responsabilité de « Professeur », qui est responsable de tout le processus technique de sécurisation de l'infection d'une victime. - Un système de rémunération : primes mensuelles, amendes, employé du mois, évaluations des performances
i. Les membres de l'équipe de négociation de Conti (y compris les spécialistes OSINT) sont payés par des commissions, calculées en pourcentage du montant de la rançon payée qui varie de 0,5 à 1 %. Les codeurs et certains des responsables reçoivent un salaire en bitcoins, transféré une ou deux fois par mois.
ii. Les employés de Conti ne sont pas protégés par leurs comités d'entreprise locaux et doivent donc supporter certaines pratiques dont les employés techs typiques sont exemptés, comme recevoir une amende pour des performances insuffisantes.
iii. Même si les amendes sont surtout utilisées comme un moyen reconnu dans le département des codeurs, elles sont sporadiquement employées au gré des caprices des managers dans d'autres départements -- par exemple, dans le département informatique et DevOps, où une personne responsable du transfert d'argent a reçu une amende de 100 dollars pour un paiement manqué.
2. Les talents sont recrutés tant auprès de sources légitimes que clandestines
La ressource principale généralement utilisée par les ressources humaines de Conti pour recruter est les services de chasseurs de têtes russophones tels que headhunter.ru. Ils ont également utilisé d'autres sites comme superjobs.ru, mais avec apparemment moins de succès. Conti OPSec interdit de laisser des traces concernant les offres d'emploi pour les développeurs sur de tels sites Web, un règlement rigoureusement appliqué par l'un des plus hauts responsables, « Stern ».
Ainsi, pour embaucher des développeurs, Conti contourne le réseau d'offres d'emploi de headhunter.ru, accédant directement au réservoir de CV et contactant les candidats par e-mail. Vous vous demandez peut-être « pourquoi headhunter.ru propose-t-il un tel service ? », et la réponse c’est qu'ils ne le font pas. Conti a simplement « emprunté » l’éventail de CV sans autorisation, ce qui semble être une pratique courante dans le monde de la cybercriminalité.
3. Certains employés de Conti ne savent pas qu'ils travaillent pour une organisation cybercriminelle
Dans un entretien d'embauche en ligne, un responsable dit à un candidat potentiel pour l'équipe de codage : « Ici, tout est anonyme, la direction principale de l'entreprise est un logiciel pour les pentesters ».
Autre exemple, un membre du groupe connu sous le surnom de « Zulas », très probablement la personne qui a développé le backend de Trickbot dans le langage de programmation Erlang. Zulas est passionné par Erlang, il s'empresse de montrer des exemples de ses autres travaux et donne même son vrai nom. Lorsque son responsable mentionne que son projet « trick » (Trickbot) a été vu par « la moitié du monde », Zulas ne comprend pas la référence, appelle le système « lero » et révèle qu'il n'a aucune idée de ce que fait son logiciel et pourquoi l'équipe se donne tant de mal pour protéger l'identité des membres. Son interlocuteur lui dit qu'il travaille sur un backend pour un système d'analyse publicitaire.
4. Conti discute activement de ses futurs projets : la création d’une plateforme de crypto et d’un réseau social darknet
L'une des idées abordées était de créer une bourse de crypto-monnaies dans l'écosystème du groupe.
Un autre projet est celui du « réseau social darknet » (également : « VK for darknet » ou « Carbon Black for hackers »), un projet inspiré par Stern et réalisé par Mango, prévu pour être développé comme un projet commercial. En juillet 2021, Conti était déjà en contact avec un designer, qui a produit quelques maquettes.
Lotem Finkelstein, responsable de Threat Intelligence chez Check Point Software, explique : « Pour la première fois, nous avons eu la possibilité d’observer un groupe connu et qui est réputé pour être le visage des groupes de ransomwares. Conti se comporte comme une entreprise du secteur de la tech. Ce qui est alarmant, c'est que nous avons la preuve que les collaborateurs ne sont pas tous pleinement conscients d’appartenir à un groupe de cybercriminels. En d'autres termes, Conti a pu recruter des professionnels auprès de sources légitimes. Ces employés pensent qu'ils travaillent pour une agence de publicité, alors qu'en fait ils travaillent pour un groupe de ransomware notoire. Certains de ces employés découvrent la vérité et décident de rester, ce qui montre que l'équipe de direction de Conti a développé un processus pour retenir les employés. Conti a en effet développé une culture interne qui récompense les meilleurs salariés sur la base d’un système de prime et sanctionne les employés en cas de comportement indésirable. Nous constatons également que Conti dispose de bureaux en Russie. Nos recherches montrent que Conti a un fonctionnement interne digne des entreprises dites classiques. »
Source : Check Point Research
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Un membre mécontent du gang du ransomware "Conti" divulgue des fichiers internes, car il serait insatisfait de la façon dont l'argent de l'extorsion est réparti Après avoir lancé une attaque au ransomware contre le service irlandais de santé et publié des documents médicaux, les cybercriminels donnent gratuitement des clés de déchiffrement