Les fuites Conti

Pendant deux ans, l’opération de ransomware Conti a été l’une des machines d’extorsion les plus prolifiques d’internet, frappant des hôpitaux, des districts scolaires, des industriels, et à un moment l’ensemble du gouvernement du Costa Rica. Elle fonctionnait comme une entreprise. Elle avait des RH, des recruteurs, des disputes salariales, et un serveur Jabber russophone bruissant du trafic quotidien de plus d’une centaine d’employés.

Une brève déclaration, une longue conséquence

Le deuxième jour de l’invasion à grande échelle de l’Ukraine par la Russie en février 2022, la direction de Conti publie sur son site de fuite une déclaration pro-russe sans ambiguïté. Le message promet des représailles contre toute entité occidentale visant des infrastructures critiques russes.

Un membre ukrainien du groupe réagit en exfiltrant les conversations internes du gang — environ deux ans de logs Jabber et de dépôts de code source — et les publie par lots au cours des semaines suivantes sous le pseudonyme @ContiLeaks.

Un manuel pour défenseurs, payé par le gang

Les dumps constituent, de fait, le portrait interne le plus détaillé jamais publié d’une opération de ransomware majeure. Les chercheurs en extraient des organigrammes, des fourchettes de salaires, des canaux de blanchiment, des indices d’attribution, et l’analyse par le gang lui-même des produits de sécurité faciles ou difficiles à contourner. Conti rebrande, se fragmente, et finit par éteindre sa marque principale en quelques mois.

Ce que la chronique retient

Les fuites Conti ont offert une occasion rare de voir le ransomware non comme un malware sans visage mais comme un lieu de travail. L’essentiel de ce que les défenseurs savent sur l’organisation des groupes d’extorsion modernes — le modèle affilié, les incitations des développeurs, le fonctionnement réel des tickets de support — vient d’un disque dur copié par un employé mécontent au début de 2022.