iStock

Ransomware : le groupe Conti continue d’amasser les millions

À ce jour, le groupe semble avoir réussi à extorquer moins de victimes ce mois-ci qu’en octobre. Mais l’une d’entre elles a probablement versé 120 bitcoins, faisant exploser les compteurs de la franchise Conti.

Les mois se suivent et ne se ressemblent pas, ou pas totalement. Au mois d’octobre, le groupe Conti semble avoir réussi à faire céder au moins 10 victimes, contre 15 en septembre. Mais pour novembre, nous n’avons identifié que 3 transactions attribuables, avec un niveau de confiance élevé, à des paiements de rançon.

Depuis plusieurs mois, nous examinons les flux financiers suivant le paiement de rançons pour tenter de remonter à de probables paiements de rançons additionnels. Pour ce travail d’enquête, nous nous appuyons sur les outils de Crystal Blockchain, et en particulier son explorateur, utilisable gratuitement. Malgré ses limitations, cet outil nous a permis d’identifier une adresse Bitcoin semblant avoir été utilisée pour consolider des parts de plusieurs rançons payées. Les analystes de Crystal Blockchain se sont précédemment penchés sur nos travaux et estiment que l’adresse en question « présente un lien vraiment fort avec Conti ».

Sur cette base, nous avons pu, avec un niveau de confiance élevé, attribuer au moins 8 transactions à des paiements de rançon par des victimes de Conti, pour un montant total de 8 millions de dollars, au mois de juin. En août, avec une autre adresse Bitcoin tout aussi remarquable, nous en avons attribué une petite dizaine, pour un total de près de 2,6 millions de dollars. En septembre, nous avons relevé au moins 15 transactions pour plus de 7 millions de dollars.

Pour octobre, nous avons ainsi relevé 10 transactions pour 77 bitcoins. En novembre, pour l’heure, nous en sommes à trois transactions. Mais l’une d’entre elles s’élève à rien de moins que 120 bitcoins. Au cours actuel de cette cryptomonnaie, cela représente 4,4 millions de dollars pour octobre, et 7,5 millions pour novembre. Le cours du bitcoin a sévèrement décroché ces derniers jours.

Les outils de Crystal Blockchain nous ont permis remonter des flux financiers jusqu'à de probables paiements de rançons.

Le Suisse Prodaft s’est, lui aussi, récemment penché sur Conti. Les analyses conduites par Elliptic Ltd. à partir de ses données confortent nos précédentes observations. Le rapport de Prodaft fait notamment état d’un « cluster de consolidation », que les auteurs « pensent contrôlé par un opérateur de Conti » qui a été actif pour la première fois en décembre 2017 et a, à l’époque, reçu un paiement de 1,8 bitcoin. Ce qui correspond à l’une des adresses sur lesquelles nous avons concentré notre attention.

Pour approfondir sur Menaces, Ransomwares, DDoS