Des anciens membres de Conti ciblent l’Ukraine dans des campagnes de Phishing menées par l’intermédiaire du groupe UAC-0098. Signe selon Google, des frontières poreuses entre les groupes de pirates motivés financièrement et des gouvernements d’Europe de l’Est.
Selon certains observateurs le groupe de cybercriminels Conti bat sérieusement de l’aile. Et ce, depuis qu’un de ses anciens membres a révélé des informations confidentielles sous fond de guerre en Ukraine. Mais si le groupe se fait effectivement plus discret depuis quelques temps, ses membres eux, toujours bien actifs, se recyclent ici et là. C’est du moins ce que met en exergue une étude des experts cyber de Google.
« Alors que la guerre en Ukraine se poursuit, le TAG (Threat Analysis Group ndlr) traque un nombre croissant d'acteurs menaçants à motivation financière ciblant l'Ukraine et dont les activités semblent étroitement alignées sur les attaquants soutenus par le gouvernement russe », a indiqué Google dans un compte rendu.
Les experts de la firme ont étudié plusieurs campagnes menées d’avril à août 2022, suivies par le CERT-UA (Computer Emergency Response Team of Ukraine), menées sous le numéro UAC-0098. Ce groupe bien connu est lié au cheval de Troie bancaire IcedID. Le rapport avance qu’ UAC-0098 a concentré sa force de frappe sur les organisations ukrainiennes, le gouvernement ukrainien ainsi que des organisations humanitaires. Et selon les conclusions du TAG, certains de ses membres seraient d’anciens de Conti qui « réorientent leurs techniques pour cibler l’Ukraine ».
Conti se cache dans les détails
« TAG évalue que l'UAC-0098 a agi en tant que courtier d'accès initial pour divers groupes de rançongiciels, dont Quantum et Conti », développe l’étude. Le TAG a d’abord identifié une campagne de phishing par e-mail diffusant Anchor Mail, une porte dérobée développée par Conti. « L'activité UAC-0098 a ensuite été identifiée dans une autre campagne par e-mail diffusant IcedID et Cobalt Strike. Le 13 avril (2022 ndlr), au moins trois fichiers Excel ont été envoyés en pièces jointes à des organisations ukrainiennes », écrivent les experts.
Un mois plus tard l’UAC-0098 a mené une seconde campagne de Phishing ciblant cette fois des hôtels ukrainiens. Le groupe se faisait passer pour la cyberpolice nationale d’Ukraine exhortant les cibles à mettre à jour leur système d’exploitation. Plus tard, d’autres attaques ont visé cette fois des organisations humanitaires basées en Italie par l’intermédiaire d’un compte compromis…
Google en conclu que les activités d’UAC-0098 illustrent la tendance des groupes motivés par l’argent à s’aligner sur des intérêts géopolitiques de gouvernements de pays d’Europe de l’Est, pour ne pas dire la Russie.