16/12/2024

Actu Cybersécurité

Les messages privés des hackers derrière le ransomware Conti ont fuité !

Le groupe de cybercriminels Conti est l'un des plus actifs de ces dernières années, et il est à l'origine de nombreuses attaques informatiques ! Il s'avère que le groupe Conti a affiché son soutien envers la Russie, ce qui n'a pas plus à l'un des membres : il a publié l'historique de plus d'un an de conversations internes !

Bien souvent, le groupe Conti est associé à différentes souches malveillantes comme Emotet, TrickBot ou encore le ransomware Conti en lui-même. Par exemple, en décembre dernier les pirates tentaient d'exploiter la vulnérabilité Log4J pour compromettre les serveurs VMware vCenter.

Suite à l'attaque des russes sur le territoire ukrainien, le groupe Conti a publié un message sur son site officiel pour afficher clairement son soutien à la Russie. Ainsi, on pouvait lire le message suivant : "L'équipe Conti annonce officiellement un soutien total au gouvernement russe. Si quelqu'un décide d'organiser une cyberattaque ou faire la guerre contre la Russie, nous allons utiliser toutes nos ressources disponibles pour riposter". Le message est clair, mais cette prise de position n'a pas plus à l'un des membres ukrainiens de la bande... Et il a décidé de se venger !

Pour se venger, c'est assez simple : il a pris la décision de publier l'historique des conversations internes de l'équipe Conti entre le 29 janvier 2021 et le 27 février 2022. Ce n'est pas rien, car cela représente plus de 60 000 messages.

Des chercheurs en sécurité ont pu analyser le contenu de ces conversations et voici quelques chiffres clés :

  • Environ 341 membres
  • Plus de 200 adresses Bitcoins utilisées, pour un total d'environ 13 millions de dollars
  • 301 adresses IP uniques
  • 271 domaines différents associés à leurs activités

Parmi les adresses IP associées aux activités du groupe Conti et que vous pouvez bloquer dès à présent, nous avons celles-ci : 138[.]124[.]180.94, 45[.]14[.]226.47, 193[.]203[.]203.101 et 87[.]166[.]57.137.

Je vous invite à lire ce post sur LinkedIn pour plus d'informations (merci à son auteur) : Leak Conti [FR].

Il y a des chances pour que de nouvelles informations fuites dans les prochains jours. Ce qui est assez drôle, c'est que le groupe Conti a mis à jour le message sur son site web. Désormais, le groupe de cybercriminels se présente comme étant apolitique et affirme condamner la guerre en cours.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.