Le gang de ransomware Conti a refait surface et opère désormais en trois groupes : TRM Labs

Le monde de la cybercriminalité a connu des changements notables au cours de l'année écoulée : de nouveaux marchés du darknet ont pris la place de Hydra, qui a été fermé, et les opérateurs du célèbre groupe de ransomware Conti ont changé de nom, a déclaré la société d'analyse de blockchain TRM Labs.

Dans unnouveau rapportAnalysant la transformation du secteur de la cybercriminalité depuis le début de la guerre russo-ukrainienne, TRM a nommé les successeurs présumés de Conti, un gang de rançongiciels autrefois célèbre qui a extorqué des centaines de bitcoins à des entreprises américaines, notamment des organismes de santé, pendant la pandémie de COVID-19. Selon TRM, Conti « s'est rebaptisé en au moins trois groupes plus petits : Black Basta, BlackByte et Karakurt ».

Conti a attaqué avec succès plusieurs organisations aux États-Unis, chiffrant leurs systèmes informatiques et exigeant une rançon importante pour débloquer les fichiers. En 2022, le groupe a été piraté.a prêté allégeanceà la Russie dans la guerre récemment déclenchée en Ukraine. Peu après, un initié aurait manifesté son mécontentement face à cette décision.fuite des gigaoctets de messages des membres du groupe entre eux, discutant des hacks, des paiements, des moyens d'encaisser des Crypto et simplement de leur vie quotidienne.

Mais bientôt, soit à cause de la fuite, soit pour d'autres raisons, Conti auraitopérations cessées. Cependant, les pirates n'ont pas abandonné et les portefeuilles Crypto liés aux opérateurs de Conti sont restés actifs et sont probablement passés à d'autres souches de ransomware.

Sur le même sujet : Un gang de ransomware a extorqué 725 BTC en une ONE attaque, selon les détectives de la chaîne

En janvier, Chainalysis publiéun rapport indiquant que les portefeuilles du prétendu chef de Conti, Stern, « ont effectué des transactions avec des adresses liées à des souches comme Quantum, Karakurt, Diavol et Royal en 2022 après la disparition de Conti », car les opérateurs de ransomware travaillent apparemment généralement avec plusieurs variantes de logiciels malveillants, collaborant simultanément avec un groupe de collectifs de pirates informatiques à la fois.

TRM affirme que le principal successeur de Conti est très probablement le groupe de ransomware connu sous le nom deKarakurt. Le LINK entre les deux était auparavant suggéré par des experts en cybersécuritéSelon la société de cybersécurité Avertium, Karakurt attaque généralement des organisations qui ont déjà été compromises auparavant.

Tout comme Conti, Karakurt n'a pas été au-dessusattaquer les organisations de soins de santé, en particulier un fournisseur de facturation Practice Resources, qui a étéfrapper avec une attaque en août 2022. Cependant, contrairement à Conti, Karakurt n'a pas chiffré les fichiers des victimes mais les a seulement volés et a menacé les victimes de les divulguer si une rançon n'était T payée.

Selon TRM Labs, Karakurt est actif depuis au moins octobre 2021. Conti et Karakurt ont tous deux utilisé la même adresse pour envoyer les paiements de rançon qu'ils ont reçus en octobre 2021, indique TRM, et plus tard, cette adresse a envoyé l'argent à une « plateforme d'échange à haut risque ».

« La chronologie des activités on-chain et off-chain de Karakurt confirme que le groupe était actif bien avant la fermeture officielle de Conti, survenue en mai 2023. Karakurt semble avoir été créé par Conti en 2021 et est devenu pleinement opérationnel sous sa nouvelle marque en 2022 », a déclaré à CoinDesk Ari Redbord, responsable des affaires juridiques et gouvernementales de TRM Labs. Il a ajouté que les mêmes personnes étaient probablement à l'origine de Conti et de Karakurt.

Quant aux méthodes de retrait utilisées par les cybercriminels, les marchés du darknet, où des vendeurs anonymes proposent des drogues illégales, de faux documents et d'autres biens et services clandestins, deviennent un canal de blanchiment d'argent populaire, indique TRM Labs dans son rapport. Dans la mesure où ces plateformes regroupent les fonds de leurs utilisateurs sur des portefeuilles centralisés, elles servent en partie de mixeur, précisent les rapports.

Cette option de blanchiment d'argent attire encore plus de cybercriminels ces derniers temps, notamment ceux qui profitent de contenus pédopornographiques (CSAM), ou de pornographie juvénile, selon TRM. L'entreprise a enregistré une hausse des flux de Crypto liés à ces contenus vers les plateformes du darknet associées à la Russie, selon le rapport.

La guerre pourrait renforcer cette tendance, la Russie étant de plus en plus isolée de l'Occident sur les plans politique et économique, a déclaré TRM. « Il est possible que l'éloignement politique et économique de la Russie vis-à-vis de l'Occident ait alimenté l'idée que le pays est une juridiction favorable aux criminels cherchant à échapper aux forces de l'ordre occidentales », a-t-il ajouté.