Plus de 60 000 conversations internes du gang de ransomware Conti ont fuité après que les dirigeants du groupe ont publié un message pro-russe agressif sur leur site officiel, vendredi, au lendemain de l'invasion de l'Ukraine par la Russie.
Conti annonçait en effet sur son blog « son plein soutien à l'attaque du gouvernement russe contre l'Ukraine », précise BleepingComputer. Ils ont également averti que « si quelqu'un organisait une cyberattaque contre la Russie, le gang Conti riposterait contre les infrastructures critiques ».
Réalisant que plusieurs membres de Conti soutenaient l'Ukraine, le groupe a depuis remplacé son message par un autre plus modéré, déclarant qu'ils « ne s'allient à aucun gouvernement » et qu'ils « condamnent la guerre en cours ».
Un revirement qui n'a pas empêché quelqu’un se présentant comme un chercheur ukrainien en sécurité ayant accès aux conversations de Conti de contacter des journalistes et chercheurs pour faire fuiter les données.
Les conversations, authentifiées par plusieurs chercheurs interrogés par The Record et BleepingComputer, remontent à fin janvier 2021 et courrent jusqu'à ce 27 février 2022. Elles contiennent diverses informations sur les activités du gang, y compris des victimes non signalées auparavant, des URL de fuite de données privées, des adresses bitcoin et des discussions sur leurs opérations.
S'y trouvent aussi 239 adresses bitcoin contenant 13 millions de dollars de paiements, qui ont été ajoutées au site Ransomwhere, qui répertorie les paiements de rançongiciels. Le ou les auteurs de la fuite ont expliqué que d'autres documents pourraient suivre.
Alors que par le passé, les hackers russes et ukrainiens travaillaient côte à côte, l'invasion russe pousse plusieurs d'entre eux à choisir leur camp, et donc diviser leurs rangs.
Plus prudent, le gang LockBit a de son côté annoncé qu'il ne soutenait aucun camp : « Nous sommes tous apolitiques, et ne sommes intéressés que par l'argent », précisent-ils dans un communiqué.
« Notre communauté est composée de nombreuses nationalités du monde, la plupart de nos pentesters sont originaires de la CEI, y compris des Russes et des Ukrainiens, mais nous avons aussi des Américains, des Anglais, des Chinois, des Français, des Arabes, des Juifs et bien d'autres dans notre équipe.
Nos programmeurs développeurs vivent en permanence dans le monde entier en Chine, aux États-Unis, au Canada, en Russie et en Suisse. Nos serveurs sont situés aux Pays-Bas et aux Seychelles, nous sommes tous des gens simples et pacifiques, nous sommes tous des Terriens.
Nous ne participerons jamais, en aucune circonstance, à des cyber-attaques contre des infrastructures critiques de n'importe quel pays dans le monde ou ne nous engagerons dans aucun conflit international. »
Commentaires