Le ministère américain de la Justice a annoncé le 12 juin, heure locale, qu'un citoyen ukrainien extradé vers les États-Unis depuis l'Irlande avait plaidé coupable à des accusations liées à son rôle dans l'opération du ransomware Conti. L'homme, Oleksii Oleksiyovych Lytvynenko, 44 ans, a plaidé coupable de complot en vue de commettre une fraude électronique pour son rôle dans plusieurs attaques du ransomware Conti entre 2021 et 2022.
Les procureurs ont souligné que Lytvynenko et ses associés ont utilisé le ransomware Conti pour envahir les réseaux de plusieurs organisations victimes aux États-Unis et à l'étranger, ont chiffré leurs systèmes et appareils après avoir volé des données, et l'ont utilisé pour extorquer une rançon Bitcoin aux victimes. Selon le cas divulgué par le ministère de la Justice, Lytvynenko a admis avoir rejoint le gang Conti depuis environ septembre 2021 et posséder des données volées sur huit victimes américaines et quatre victimes étrangères.
Il a également admis avoir rejoint un groupe dirigé par un autre co-conspirateur de Conti, responsable du développement d'un programme malveillant appelé "loader". Ces outils sont utilisés pour déployer d’autres composants malveillants nécessaires à la réalisation de l’attaque et constituent un maillon clé de la chaîne d’attaque des ransomwares.
L’opération de rançongiciel Conti était à l’époque l’une des organisations cybercriminelles les plus actives et destructrices au monde, ciblant les hôpitaux, les entreprises, les écoles et les agences gouvernementales du monde entier. Des documents judiciaires montrent que le gang Conti a ciblé plus de 1 000 victimes dans le monde et a généré plus de 150 millions de dollars de produits illicites grâce aux demandes de rançon.
Le plaidoyer de culpabilité fait suite à l'arrestation de Lytvynenko en Irlande en juillet dernier et à son extradition ultérieure vers les États-Unis. La peine maximale à laquelle il encourt pour les accusations actuelles est de 20 ans de prison, et la peine finale sera déterminée par le tribunal.
Les informations accessibles au public montrent que le gang du ransomware Conti serait issu du groupe de cybercriminalité Ryuk et est étroitement lié au groupe de logiciels malveillants TrickBot. Le groupe est connu pour lancer des attaques de ransomware à grande échelle contre des établissements médicaux, des agences gouvernementales et de grandes entreprises.
Conti a annoncé la fermeture en 2022 au milieu de fuites de journaux de discussion internes et d'une pression croissante des forces de l'ordre mondiales. Les chercheurs en sécurité estiment que les principaux membres de Conti n’ont pas abandonné la cybercriminalité depuis lors, mais se sont réorganisés et ont rejoint ou dirigé plusieurs autres groupes de ransomwares, notamment BlackCat (également connu sous le nom d’ALPHV), Black Basta, ZEON, Hive, Quantum, BlackByte, Karakurt et Silent Ransom Group.
En plus de l'inculpation de Lytvynenko, les États-Unis et le Royaume-Uni ont annoncé des sanctions et inculpé pénalement neuf citoyens russes dès septembre 2023 en relation avec les opérations de ransomware TrickBot et Conti, alléguant leur implication dans des attaques contre plus de 900 victimes dans le monde. Ces actions démontrent une fois de plus la force et la persistance de la coopération entre les agences multinationales chargées de l’application des lois dans la lutte contre les crimes transnationaux liés aux ransomwares.