Unul dintre cele mai de succes grupuri de ransomware din lume se confruntă cu o lansare masivă a propriilor date interne după ce banda de criminali cibernetici s-a aliniat guvernului rus.

Conti, un grup de criminali cibernetici despre care cercetătorii spun că are sediul în Rusia, a extorcat milioane de dolari de la companii americane și europene în ultimii ani. Oferă afiliaților din întreaga lume programe malware pe care le implementează împotriva victimelor în schimbul unei reduceri a plăților de răscumpărare.

Scurgerea de date, care scoate la iveală detalii fără precedent despre infrastructura de atac și adresele Bitcoin, precum și conflicte și acuzații interne, s-ar putea să nu fi avut loc niciodată dacă grupul de ransomware Conti ar fi ales să rămână apolitic, a declarat Alex Holden, ofițer șef de securitate a informațiilor pentru firma de securitate cibernetică. Hold Security LLC.

„Principalul este că gașca în sine conținea un număr de ucraineni; nu a făcut diferența între membrii săi”, a spus Holden. Situația s-a schimbat săptămâna trecută, după ce forțele ruse au atacat Ucraina, bombardând baze aeriene militare, atacând puncte de control și ucigând cel puțin 137 de trupe ucrainene.

În timp ce invazia terestră rusă s-a desfășurat pe ecranele de televiziune din întreaga lume, în paralel a avut loc un conflict cibernetic. Hackerii de ambele părți ale conflictului au lansat atacuri de forță brută cunoscute sub denumirea de atacuri distribuite de refuzare a serviciului pentru a scoate site-urile guvernamentale offline.

Până la sfârșitul săptămânii trecute, Conti i-a surprins pe mulți plantându-se ferm în tabăra președintelui rus Vladimir Putin, spunând că va folosi „toate resursele posibile pentru a ataca infrastructurile critice ale unui inamic”. Anunțul a provocat o fisură în cadrul grupului, au spus analiștii de securitate cibernetică, care numără membri din Rusia și Europa de Est printre membrii și afiliații săi.

„Majoritatea forumurilor underground în limba rusă nu permit discuții legate de subiecte politice”, a spus Oleg Bondarenko, director senior al echipei de cercetare la Mandiant Inc. „Toate astfel de fire sunt șterse rapid de administratori”, iar unele forumuri interzic conturile care vorbesc despre țintirea țărilor vorbitoare de limbă rusă, a spus el.

Conti a emis un anunț mai mut la scurt timp după mesajul său inițial, spunând că, deși grupul nu s-a aliat cu niciun guvern anume, va direcționa resursele către „beliculoșii occidentali” și va răzbuna orice încercare de a viza infrastructura critică din Rusia sau orice alt stat rus. regiune vorbitoare din lume.

„Ransomware-ul este o operațiune globală”, a spus Allan Liska, analist de informații la firma de securitate cibernetică Recorded Future Inc din Massachusetts. „Este posibil să aveți sediul în Rusia, dar trebuie să luați în considerare toți afiliații care sunt răspândiți în toată lumea. lumea chiar acum — cel mai probabil, care nu sunt fani ai Rusiei. Deci nu poți să iei o astfel de poziție și să nu te aștepți să existe o greșeală.”

Revenirea, a spus el, a venit sub forma jurnalelor de chat și a recriminărilor interne care datează de 13 luni și au ajuns în public odată cu scurgerea de date.

„Am găsit peste 150 de portofele Bitcoin, sunt multe analize de făcut cu asta”, a spus Liska. Infrastructura back-end pe care administratorii sau afiliații Conti au folosit-o în timpul atacurilor ransomware era acum disponibilă „pentru ca guvernele sau companiile de securitate cibernetică să înceapă să caute pentru a găsi punctele slabe”. În timp ce structurile interne ar putea fi schimbate, „acum știm cum arată structura back-end și știm ce să scanăm – ce să căutăm când o mută”, a spus el.

Anchetatorii au folosit anterior date financiare, cum ar fi adresele portofelului de criptomonede, pentru a mapa activitățile hackerilor de ransomware și, în unele cazuri, au confiscat fonduri de extorcare. Datele tehnice oferă personalului de securitate indicii despre cum să blocheze potențialele hack-uri Conti în viitor.

Alex Holden de la Hold Security a descris și ceea ce a putut vedea despre scurgere. „Vedem operațiunile financiare, le vedem aspirațiile – de exemplu, ei vorbesc despre construirea propriei criptomonede. Îi vedem luptându-se între ei”, a spus el. „Unul dintre ei a criptat recent un spital plin de pacienți cu paralizie cerebrală și vedem cum încearcă să o dea afară pe această persoană pentru că le-a încălcat codul.”

Identitatea divulgatorului nu este clară, deși Holden a sugerat că în spatele dezvăluirilor s-a aflat un cercetător ucrainean în domeniul securității cibernetice.

Chiar dacă dezvăluirile duc la sfârșitul dominației lui Conti pe piața de ransomware, există încă mulți alții care așteaptă să umple acel spațiu.

LockBit, o bandă de infractori cibernetici care face și trafic cu ransomware ca serviciu către hackeri, a lansat o declarație în weekend în care enumeră câteva dintre numeroasele naționalități pe care le numără în comunitatea sa.

„Pentru noi, este doar afaceri și suntem cu toții apolitici”, a spus grupul. „Ne interesează doar banii pentru munca noastră inofensivă și utilă. Nu vom lua niciodată parte, sub nicio circumstanță, la atacuri cibernetice asupra infrastructurilor critice ale vreunei țări din lume și nu ne vom angaja în vreun conflict internațional.”

bbabo.Net