Ce n’est pas une fuite isolée, mais une vendetta en règle contre l’anonymat des gangs de ransomware. Et pour une fois, l’initiative ne vient ni des États ni des agences de sécurité.
- GangExposed, un compte Telegram anonyme, dévoile l'identité des cerveaux du gang de ransomware Conti, exposant leurs activités.
- Les révélations incluent des photos, des identités et des documents internes, perturbant l'anonymat des cybercriminels.
- GangExposed vise à démanteler les réseaux de Conti et Black Basta, en exposant leurs opérations et circuits financiers.
Depuis début mai, un compte Telegram alimente ce qui s’apparente à une opération de démantèlement publique. Signée GangExposed, figure anonyme aux méthodes d’enquête peu orthodoxes, cette série de publications cible directement les cerveaux du gang de ransomware Conti, actif depuis des années. Documents internes, identités, visages, échanges privés, les révélations s’enchaînent, détaillées et difficilement contestables. Pour celui ou celle qui en est à l’origine, il s’agit ouvertement d’effectuer le travail que ni les polices ni les agences de renseignement ne semblent en mesure d’achever.
Les têtes ont déjà commencé à tomber chez Conti
C’est le 5 mai que GangExposed publie sa première révélation, via un nouveau canal Telegram. Il y expose Stern, leader de Conti, qu’il identifie comme Vitaly Nikolaevich Kovalev, ressortissant russe de 36 ans. L’information a depuis été confirmée par les autorités allemandes. Deux jours plus tard, il récidive avec Professor, autre cadre influent du gang, présenté comme Vladimir Viktorovich Kvitko, 39 ans, aujourd’hui installé à Dubaï. En parallèle, les documents publiés suggèrent que Kvitko aurait quitté la Russie en 2020 avec d’autres membres du groupe pour poursuivre leurs activités depuis les Émirats arabes unis.
Dans les jours qui suivent, les publications s’enchaînent à un rythme soutenu. Fin mai, GangExposed lâche une bombe, et publie quinze photos de membres présumés de Conti, accompagnées des profils détaillés de Defender (Andrey Zhuykov, administrateur système), Mango (Mikhail Tsaryov, cadre opérationnel), et Arkady Bondarenko, présenté comme le négociateur principal du groupe. Une vidéo montre également six membres de Conti célébrant l’anniversaire de Target dans un jet privé, autre figure clé du groupe dont l’identité n’a pas encore été révélée, chose qui ne saurait tarder.
Car, pour rappel, les autorités américaines ont promis jusqu’à 10 millions de dollars pour toute information permettant de localiser ou d’identifier cinq figures majeures de Conti, parmi lesquelles Professor et Target. GangExposed, lui, affirme ne pas s’en préoccuper. « J’ai cramé 10 millions pour livrer Professor », a-t-il déclaré à nos confrères et consœurs de The Register, avant d’annoncer qu’il s’apprêtait à faire de même avec Target.
Une vendetta tenue par des motivations tenaces
Mais qui se cache derrière GangExposed ? D’après The Register, le lanceur d’alerte se présente comme un enquêteur indépendant, sans formation technique, mais sensibilisé à l’analyse, à l’OSINT, à la linguistique et à la psychologie. Il affirme ne plus avoir de « vrai nom » depuis des années, et se décrit comme nomade, sillonnant les pays au gré de ses investigations.
Plusieurs spécialistes, dont le PDG de FalconFeeds, estiment cependant que son profil ne colle pas à celui d’un simple curieux ou d’un chercheur isolé. Le niveau d’accès dont il semble disposer, la précision du contexte, la structuration des publications : tout laisse penser à une personne issue du cercle interne, peut-être un ancien membre de Conti ou un proche du noyau dur aujourd’hui en bisbillle avec le groupe. La mise en scène soignée des fuites évoque une opération construite, maîtrisée, et résolument stratégique.
D’autant que pour alimenter ses révélations, il explique s’être appuyé sur des bases semi-fermées, des services du darkweb, et des données achetées – notamment une copie de la base de données des contrôles frontaliers du FSB, qu’il aurait acquise pour 250 000 dollars. Une somme qu’on imagine difficilement investir sans une motivation tenace, ni un certain sens de la mission.
Car ce qu’il cherche, dit-il, c’est faire tomber une cinquantaine de noms importants, perturber leurs circuits de blanchiment, et les priver d’un sanctuaire aux Émirats arabes unis, en prouvant que certaines attaques ont été planifiées et commises depuis ce territoire. Il accuse également la conférence Blockchain Life (événement crypto international organisé par la Russie et les EAU) d’avoir servi à légitimer les revenus frauduleux de Conti.
Selon les analystes de FalconFeeds, ces vagues de révélations s’inscriraient en réalité dans une stratégie plus large. GangExposed ne viserait pas uniquement Conti, mais aussi Black Basta. Les fuites mentionnent notamment gg, coordinateur de Black Basta, chargé des déploiements, des choix de cibles et de la gestion financière du groupe. Les documents incluent également des logs internes, des paiements en cryptomonnaie, et des scripts d’ingénierie sociale utilisés lors des négociations avec les victimes.
« GangExposed est en train de démanteler, point par point, l’anonymat qui protégeait jusqu’ici ces cybercriminels », a résumé FalconFeeds sur X. « Ce n’est plus une simple fuite : c’est une guerre de renseignement aux enjeux considérables. »
Bref, en attendant une réaction des autorités, GangExposed poursuit sa campagne, méthodique et ciblée. Ce qui n’était au départ qu’un canal anonyme s’est transformé en opération de démystification à grande échelle, suivie de près par les chercheurs, et redoutée, très probablement, par celles et ceux qu’elle vise.
Sources : The Register, FalconFeeds via X.com
