Un Ukrainien soupçonné d’avoir opéré pour le groupe de ransomware Conti a été extradé d’Irlande vers les États-Unis, où il fait face à de lourdes accusations fédérales.
Oleksii Oleksiyovych Lytvynenko, ressortissant ukrainien de 43 ans, comparaît devant un tribunal du Tennessee pour son rôle présumé au sein du groupe de ransomware Conti. Extradé d’Irlande après une arrestation en 2023, il est accusé d’avoir orchestré des attaques informatiques contre des entreprises américaines et internationales, extorquant des centaines de milliers de dollars. Conti, dissous en 2022, reste lié à de nombreuses filiales cybercriminelles comme Royal ou Black Basta.
Conti, un réseau de rançongiciels tentaculaire
Oleksii Lytvynenko est accusé par le département américain de la Justice d’avoir opéré pour le compte du groupe Conti entre 2020 et 2022. Les procureurs affirment qu’il aurait infecté des dizaines de réseaux et exigé des rançons chiffrées en cryptomonnaie, notamment auprès de deux entreprises du Tennessee, pour un total d’environ 500 000 dollars (463 000 euros). Selon le procureur adjoint Matthew Galeotti, le groupe aurait amassé jusqu’à 150 millions de dollars (139 millions d’euros) grâce à ses campagnes d’extorsion mondiales.
Arrêté à Cork en juillet 2023 par la Garda Síochána, la police irlandaise, Lytvynenko a passé plus d’un an en détention avant son extradition. Il encourt jusqu’à 25 ans de prison pour association de malfaiteurs en vue de commettre une fraude informatique et électronique. Le FBI estime qu’il aurait participé à un réseau opérant sur plusieurs continents, ciblant administrations, hôpitaux et services d’urgence.
Conti, actif de 2019 à 2022, s’est distingué par sa brutalité. Ses membres menaçaient de publier les données volées si les victimes refusaient de payer. En 2022, le groupe a paralysé le gouvernement du Costa Rica, exigeant une rançon de 20 millions de dollars (18,5 millions d’euros). Un groupe qui regroupait des pirates russes et ukrainiens.
La chute de Conti et la recomposition du paysage cybercriminel
La fin de Conti a coïncidé avec l’invasion de l’Ukraine par la Russie. Après que ses dirigeants ont publié un communiqué soutenant Moscou, un membre ukrainien aurait divulgué leurs échanges internes. Ces fuites ont exposé la stratégie du groupe et ses liens présumés avec les services russes. Les messages ont également confirmé l’absence de scrupules de Conti, notamment lors de ses attaques contre des hôpitaux américains pendant la pandémie.
La dissolution du groupe n’a pas mis fin à ses activités. Plusieurs de ses anciens membres auraient rejoint ou fondé de nouvelles entités, dont Royal et Black Basta, identifiées par des chercheurs comme des héritières directes de Conti. Ces groupes poursuivent des tactiques similaires : pénétration de réseaux via des failles connues, chiffrement des serveurs et double extorsion.
Les États-Unis ont offert jusqu’à 10 millions de dollars (9,25 millions d’euros) pour toute information menant à l’arrestation d’un dirigeant de Conti. Depuis, plusieurs membres présumés ont été inculpés. Quatre d’entre eux ont été poursuivis en septembre 2023 pour avoir visé des infrastructures critiques américaines.
L’Ukraine, nouveau front de la lutte contre les rançongiciels ?
En juin 2024, la police ukrainienne a annoncé avoir identifié un hacker de Kyiv, 28 ans, soupçonné d’avoir travaillé pour Conti et LockBit. Ce développeur aurait conçu des outils destinés à masquer les rançongiciels et à contourner les antivirus. Il aurait été rémunéré en cryptomonnaie par des cybercriminels opérant depuis la Russie.
Cette enquête s’inscrit dans l’opération internationale Endgame, menée par les polices néerlandaise et ukrainienne, qui a permis de démanteler une centaine de serveurs malveillants et de saisir 2 000 domaines. LockBit, autre groupe majeur, a vu son infrastructure d’extorsion saisie en février 2024 avant de réapparaître quelques mois plus tard. Le FBI affirme disposer de 7 000 clés de déchiffrement permettant aux victimes de récupérer leurs données. Lytvynenko, lui, aurait poursuivi ses activités de cybercriminalité après la chute de Conti, mais le ministère américain de la Justice n’a pas confirmé s’il appartenait à un autre collectif.
