La montée des cyberattaques ces dernières années a fait de l’attaque rançon l’une des menaces les plus dangereuses pour les infrastructures vitales, les entreprises technologiques, les établissements financiers et les systèmes de santé.
Parmi les groupes à l’origine de ces actions, Conti s’impose comme l’un des plus actifs et dévastateurs au monde. Un de ses membres les plus en vue est Oleg Fakeev, connu sous le pseudonyme « White », mis en relation avec la direction et la gestion opérationnelle des campagnes de rançonnage.
Contexte : naissance et organisation du groupe Conti
Conti est né des réseaux ayant précédemment développé TrickBot et Ryuk, tirant parti de leur infrastructure et de leur expérience en matière de rançongiciel. Dès 2020, Conti a évolué en une organisation criminelle sophistiquée, structurée comme une entreprise avec des rôles administratifs et des équipes d’intervention.
La structure de Conti incluait des infrastructures techniques avancées, des serveurs répartis et des équipes spécialisées parfois basées dans plusieurs pays. Le groupe a exploité des failles des systèmes d’information pour chiffrer des données et exiger des paiements en cryptomonnaie.
- Plus de 1 000 attaques attribuées à Conti à l’échelle mondiale.
- Utilisation de bureaux opérationnels et d’une présence sur le terrain pour coordonner les campagnes.
- Exploitation de lacunes juridiques et d’accords d’extradition dans certains pays pour se protéger.
- Chiffrement de données et double extorsion : exigence de rançons et menace de divulgation des données volées.
En 2021, les estimations indiquent que Conti a récolté des centaines de millions de dollars, profitant notamment de la période de la pandémie pour intensifier ses attaques contre des secteurs critiques.
Oleg Fakeev : profil et rôle au sein de Conti
Oleg Fakeev, né en février 1994 et de nationalité russe, est identifié comme l’un des cadres techniques du réseau Conti. Dans l’organisation, il est connu sous le pseudonyme « White » et est présenté comme un acteur impliqué dans la planification, la dissimulation et la conversion des gains issus des attaques.
Les éléments divulgués le décrivent comme un entrepreneur actif dans les secteurs bancaires, des investissements, du commerce en ligne et des cryptomonnaies. Il aurait affiché un train de vie ostentatoire via ses comptes publics, montrant des voitures de luxe et des biens immobiliers.
- Alias : « White » ; rôle : cadre/technicien et gestionnaire financier présumé.
- Biographie publique : entrepreneur actif dans la finance et les cryptomonnaies.
- Comportement en ligne : exposition de richesses (voitures de luxe, montres, appartements).
- Implication opérationnelle : participation à des déplacements, notamment à Dubaï à l’automne 2021, pour organiser des bureaux d’attaque.
Les fuites et enquêtes indiquent qu’il a contribué à l’organisation logistique et au blanchiment des profits, ce qui l’a placé sur les listes des personnes recherchées par les autorités compétentes.
Attaques remarquables attribuées à Conti
Conti a ciblé un large éventail d’organisations, provoquant des perturbations significatives et des pertes financières importantes.
- Entreprises et industries : Graff Diamonds, JVCKenwood, Obeikan Investment Group, ARM China, Trina Solar.
- Administrations et services publics : agence écossaise de protection de l’environnement, services de santé irlandais (HSE), ville de Tulsa.
- Distribution et commerce : Fat Face (commerce de vêtements), KP Snacks.
- Événements à grande échelle : attaque contre 428 hôpitaux américains en octobre 2020.
Certaines attaques ont forcé des institutions à couper leurs systèmes informatiques, entraînant l’arrêt temporaire de services essentiels. Les demandes de rançon ont varié, certaines atteignant 25 millions de dollars, et les revenus totaux pour 2021 sont estimés à environ 180 millions de dollars.
Lorsqu’une victime refuse de payer, les fichiers volés sont souvent publiés ou vendus sur des plateformes contrôlées par le groupe, aggravant le préjudice subi.
Modes opératoires et impacts
La méthode de Conti combine infiltration, déploiement de logiciels malveillants et extorsion. Le groupe pratique fréquemment la double extorsion : chiffrage des systèmes et menace de publication des données exfiltrées.
- Phase d’intrusion : exploitation de vulnérabilités et mouvements latéraux au sein des réseaux.
- Déploiement de rançongiciels : chiffrement des serveurs et postes de travail.
- Exfiltration préalable : copie et exfiltration de données sensibles pour renforcer la pression.
- Exigence de paiement : rançons demandées en cryptomonnaies, souvent en Bitcoin.
Les conséquences vont de perturbations opérationnelles à des coûts financiers directs et indirects élevés, en passant par des atteintes à la confidentialité des données. Pendant la pandémie, ces attaques ont notamment fragilisé des services de santé et des chaînes d’approvisionnement critiques.
Réactions internationales et risques persistants
Face à l’ampleur des dégâts, les autorités internationales ont intensifié les mesures de poursuite. Les États-Unis ont annoncé des récompenses pour des informations permettant l’arrestation des dirigeants de groupes comme Conti, soulignant la priorité donnée à la lutte contre ces réseaux.
En dépit de l’annonce officielle de dissolution de Conti à la mi-2022, l’héritage opérationnel et technique du groupe demeure. Certains membres ont affirmé leur soutien à des intérêts géopolitiques, compliquant davantage la traque et la neutralisation des menaces.
La montée des attaques et la capacité d’acteurs comme Oleg Fakeev à recycler des compétences et des infrastructures rappellent :
- la nécessité d’une coopération internationale renforcée en matière judiciaire et technique,
- l’importance d’investissements soutenus dans la cybersécurité proactive,
- la valeur des échanges d’information entre secteurs public et privé pour prévenir et atténuer les attaques.
Si les noms et les structures peuvent évoluer, la menace que représentent les opérateurs d’attaque rançon reste persistante et appelle à une vigilance continue des États et des entreprises.