Le rançongiciel Conti gang était au sommet du monde. Le réseau tentaculaire de cybercriminels a extorqué 180 millions de dollars à ses victimes l’année dernière, éclipsant les revenus de tous les autres gangs de rançongiciels. Ensuite, il a soutenu l’invasion de l’Ukraine par Vladimir Poutine. Et tout a commencé à s’effondrer.
L’implosion de Conti a commencé par un seul message sur le site Web du groupe, généralement réservé à la publication des noms de ses victimes. Quelques heures après que les troupes russes ont traversé les frontières ukrainiennes le 24 février, Conti a offert son « soutien total » au gouvernement russe et a menacé de pirater les infrastructures critiques appartenant à quiconque oserait lancer des cyberattaques contre la Russie.
Mais alors que de nombreux membres de Conti vivent en Russie, sa portée est internationale. La guerre a divisé le groupe ; en privé, certains s’étaient insurgés contre l’invasion de Poutine. Et tandis que les meneurs de Conti se sont empressés de retirer leur déclaration, il était trop tard. Le dommage avait été fait. Surtout parce que parmi les dizaines de personnes ayant accès aux fichiers et aux systèmes de chat internes de Conti figurait un chercheur ukrainien en cybersécurité qui avait infiltré le groupe. Ils ont procédé à déchirer Conti grande ouverte.
Le 28 février, un compte Twitter nouvellement créé appelé @ContiLeaks a publié plus de 60 000 messages de chat envoyés entre les membres du gang, son code source et des dizaines de documents internes Conti. La portée et l’ampleur de la fuite sont sans précédent ; jamais auparavant le fonctionnement interne quotidien d’un groupe de rançongiciels n’avait été aussi mis à nu. “Gloire à l’Ukraine”, a tweeté @ContiLeaks.
Les messages divulgués, examinés en profondeur par WIRED, offrent une vue inégalée sur les opérations de Conti et révèlent la nature impitoyable de l’un des gangs de rançongiciels les plus prospères au monde. Parmi leurs révélations figurent la hiérarchie professionnelle sophistiquée du groupe, la personnalité de ses membres, la façon dont il esquive les forces de l’ordre et les détails de ses négociations sur les ransomwares.
« On voit le gang progresser. On voit le gang vivre. Nous voyons le gang commettre des crimes et changer au cours de plusieurs années », explique Alex Holden, dont la société Hold Security a suivi les membres de Conti pendant la majeure partie de la dernière décennie. Holden, qui est né en Ukraine mais vit en Amérique, dit qu’il connaît le chercheur en cybersécurité qui a divulgué les documents, mais dit qu’ils restent anonymes pour des raisons de sécurité.
Le gang de rançongiciels Conti fonctionne comme n’importe quel nombre d’entreprises dans le monde. Il compte plusieurs départements, des RH et des administrateurs aux codeurs et aux chercheurs. Il a des politiques sur la façon dont ses pirates doivent traiter leur code et partage les meilleures pratiques pour garder les membres du groupe cachés des forces de l’ordre.
Au sommet de l’entreprise se trouve Stern, qui passe également par Demon et agit en tant que PDG – les membres de Conti appellent Stern le “grand patron”. Tous les membres de Conti ont des noms d’utilisateur pseudonymes, qui peuvent changer. Stern poursuit régulièrement les gens sur leur travail et veut rendre compte de leur temps. “Bonjour, comment allez-vous, écrivez les résultats, les succès ou les échecs”, a écrit Stern dans un message envoyé à plus de 50 membres de Conti en mars 2021.