Conflit Russie / Ukraine : les groupes de ransomware dans une position délicate
Plusieurs groupes criminels ont pris des positions politiques à la suite de l’invasion de l’Ukraine par la Russie. Ces positions révèlent des équipes cosmopolites, unies surtout par des intérêts financiers et gênées par des prises de position politiques radicales.
Dissensions dans les rangs de Conti
Le 25 février 2022, les opérateurs du ransomware Conti ont commencé par publier sur leur blog leur « soutien plein et entier au gouvernement russe », promettant de mener des représailles contre toute personne qui conduirait des attaques informatiques ou militaires contre la Russie.
Ce premier message est supprimé deux jours plus tard, le 27 février 2022, pour faire apparaître à la place un second billet beaucoup plus modéré. Bien que la position officielle du groupe reste pro-russe, ce dernier le distancie de Moscou et précise qu’ils [les membres du groupe] ne sont « alliés à aucun gouvernement » et qu’ils « condamnent la guerre en cours ».
Ils justifient leur position par le fait que « l’Occident [serait] connu pour mener ses guerres principalement en ciblant des civils » et conditionnent leurs ripostes à d’éventuelles menaces américaines contre « le bien-être et la sécurité de citoyens pacifiques ». Ainsi, ils modèrent et légitiment leur annonce en se plaçant dans une position de défenseurs des victimes du conflit.
Le même jour, un affilié du ransomware crée le compte Twitter @contileaks pour commencer à publier des messages issus de la messagerie interne du groupe criminel. Dans ledit message, également publié sur Twitter, l’auteur promet de nouvelles fuites de données et explique son geste par son soutien à l’Ukraine. Ces publications, comprenant pseudonymes, adresses bitcoin, clés PGP, etc., ont eu lieu le 1er mars.
Multinationales du crime
Le conflit interne et le revirement dans la position officielle du groupe Conti peuvent être mis en perspective par la lecture des récents actes d’accusation à l’encontre des groupes cybercriminels.
En effet, en novembre 2021, dans le cadre des attaques attribuées aux opérateurs du ransomware REvil, la justice américaine avait porté des accusations contre un citoyen russe et un citoyen ukrainien alors qu’Europol avait annoncé l’arrestation de douze suspects en Ukraine et en Suisse le mois précédent. Les groupes recrutent donc largement leurs membres, constituant des équipes cosmopolites.
Cette diversité est visible dans la position des opérateurs du ransomware Lockbit, qui se disent « apolitiques ». Après une longue liste de nationalités, ils annoncent : « Pour nous, ce n’est que du business. […] Nous ne participerons jamais, en aucun cas, à des attaques informatiques contre les infrastructures critiques d’un pays ni ne nous engagerons dans un quelconque conflit international. »
Depuis quelques années, ces groupes de cybercriminels se sont organisés en structures d’affiliés dirigées par des opérateurs qui cherchent aujourd’hui à prendre position. Cependant, si ces opérateurs fournissent des moyens techniques à leurs affiliés pour mener des attaques informatiques (ransomwares et autres malwares), ils ne peuvent bien souvent pas les forcer à prendre partie. Ces derniers n’ont pas toujours la même nationalité, ne partagent pas les mêmes idées politiques, et leur seule motivation commune est financière.
CSIRT Lexfo