Ransomware : des franchises comme autant d’écrans de fumée

Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée.

Le 22 février, Prodaft, évoquait des activités d’anciens de Conti en lien avec la franchise LockBit. Étaient en particulier concernés trois groupes. Ce n’était pas le seul à mentionner cela.

RedSense l’évoquait également, un peu plus tôt. Selon Yelisey Bohuslavskiy, LockBit a d’abord débauché des pentesters chez Avaddon et REvil, à l’été 2021. Mais il faudra attendre l’automne 2022 pour qu’un rapprochement avec des ex-Conti s’opère.

Celui-là aurait été renforcé avec le développement de LockBit Green, justement pour répondre aux demandes des pentesters de Conti.

Début août 2022, feu Vitali Kremez, fondateur d’Advintel, détaillait : sur les sous-groupes de Conti, un premier disparaît à l’occasion des fuites de données ayant affecté le gang. Un second se retrouve en partie chez Silent Ransom et chez Quantum. Une partie du troisième sous-groupe est à retrouver chez BlackByte, Karakurt et Black Basta, tandis que l’autre reste avec Zeon qui sera rebaptisé Royal au mois de septembre 2022. Royal a désormais un successeur : BlackSuit.

Fin février 2022, la Russie envahit l’Ukraine et le gang Conti se déchire, au moins en partie. Le clap de fin est encore lointain. Car la franchise avait donc pris le temps de monter des filiales d’infuser dans d’autres franchises.

Apparue en mars 2023, la franchise Akira n’est considérée comme liée à Conti que depuis l´été 2023. Des transactions ont permis d’établir les liens. ThreeAM est également considéré comme une émanation de Conti.

Source