Employé du mois, évaluations, service des ressources humaines: quand les groupes de hackers ressemblent à s’y méprendre à des entreprises traditionnelles

En raison de leurs méfaits, les groupes de pirates informatiques jouissent d’une réputation des plus sombres et mystérieuse qui s’étend à tous leurs membres. Et il est évidemment difficile de savoir comment ça se passe « à l’intérieur », mais la récente fuite de documents d’une importante organisation de cybercriminels nous permet d’en apprendre davantage.

Conti, considéré par le FBI comme l’un des groupes de hackers les plus prolifiques de 2021, a été victime d’un vol de données – un comble – qui a permis d’en apprendre plus sur son organisation. Et le moins que l’on puisse dire, c’est que la hiérarchie et le fonctionnement du groupe de hackers ressemblent très fortement à ce que l’on peut observer au sein d’une entreprise traditionnelle.

Les documents internes volés – un acte de représailles en réponse à la prise de position pro-russe de Conti – ont en effet révélé des détails sur sa taille, sa direction et les opérations du groupe de pirates informatiques, rapporte CNBC. Plus encore, les messages récupérés montrent que Conti fonctionne avec des salariés, des primes, des évaluations de performances et même des « employés du mois ». Mais le piratage de Conti a également permis aux hackers de mettre la main sur son bien le plus précieux : le code source de son rançongiciel.

L’une des plus grandes organisations de ransomwares au monde

Conti a émergé en 2020 et est rapidement devenu l’une des plus grandes organisations de cybercriminels au monde, avec 350 membres, selon Shmuel Gihon, chercheur en sécurité au sein de la société de renseignements Cyberint. En deux ans d’existence, le groupe de hackers serait parvenu à soutirer 2,7 milliards de dollars en cryptomonnaies à ses victimes.

Ce groupe « a le plus souvent victimisé les secteurs critiques de la fabrication, des installations commerciales et de l’alimentation et de l’agriculture » américains, a indiqué le FBI, dans son rapport Internet Crime Report 2021. « Il était le groupe le plus performant jusqu’à ce moment », a déclaré Gihon à CNBC.

Une entreprise comme une autre

C’est à la suite d’actes en faveur de la Russie que des documents internes de Conti ont commencé à fuiter sur la toile. En plus d’afficher la hiérarchie et les services de gestion des finances et des ressources humaines sur lesquels repose l’organisation criminelle, le piratage de Conti par un simple « chercheur en cybersécurité » comme il l’a assuré sur Twitter, et il a également permis de découvrir qu’il disposait aussi d’unités de recherche et développement et de développement commercial.

Crédit : Cyberint

Des éléments ont également montré que le groupe disposait de bureaux physiques en Russie, ce qui laisse penser qu’il pourrait avoir des liens avec le gouvernement russe. « Notre … hypothèse est qu’une organisation aussi énorme, avec des bureaux physiques et des revenus énormes, ne serait pas en mesure d’agir en Russie sans l’approbation totale, voire une certaine coopération, des services de renseignement russes », a déclaré Lotem Finkelstein, responsable du renseignement sur les menaces chez Check Point Software Technologies.

Des méthodes (évidemment) peu conventionnelles

« De manière alarmante, nous avons des preuves que tous les employés ne sont pas pleinement conscients qu’ils font partie d’un groupe de cybercriminalité », a déclaré Finkelstein. « Ces employés pensent qu’ils travaillent pour une société de publicité, alors qu’en fait ils travaillent pour un groupe notoire de rançongiciels ». Les managers de Conti ont menti aux candidats qui postulaient pour un emploi.

Une fois dans l’entreprise, les « employés » de Conti pouvaient espérer grimper les échelons, obtenir des salaires élevés voire des augmentations et réaliser des tâches plus intéressantes en fonction de leurs performances. Un fonctionnement qui rappelle évidemment celui des entreprises conventionnelles. Et comme elles, les abus étaient monnaie courante: menace de « licenciement » en cas de réponse trop tardive ou refus de travailler les weekends.

Malgré cette déconvenue et cette pause imposée – un message indiquait qu’en raison de la fuite de documents, il n’y avait plus de patron, plus d’argent et que les membres devaient prendre 2 à 3 mois de vacances –, Conti ne devrait pas disparaitre. Selon Check Point Research, le groupe est toujours « partiellement » en activité et devrait prochainement refaire parler de lui.

Plus
Marchés
My following
Marchés
BEL20