צ'אטים פרטיים של קבוצת Conti Ransomware נחשפו לאחר פוסט פרו-רוסי

כנופיית תוכנות הכופר של Conti הייתה אחד השמות הנפוצים ביותר בחדשות אבטחת IT בכל הנוגע לתוכנת כופר במהלך השנים האחרונות. הקבוצה ספגה מכה קשה בסוף השבוע שעבר, כאשר אחד מחברי Conti הדליף מספר קבצים של הקבוצה, כולל צ'אטים פנימיים.

Conti צ'אטים פנימיים דלפים באינטרנט

קבוצת תוכנת הכופר Conti העלתה פוסט בבלוג באתר האינטרנט שלה בשבוע שעבר. תמצית הפוסט הייתה שקונטי תמך באופן מלא בממשלת רוסיה ובמה שהתקשורת הרוסית עדיין מכנה "מבצע צבאי" באוקראינה. הפוסט הפרו-רוסי של קונטי הגיע לשיא עם האיום שאם מישהו היה "לארגן מתקפת סייבר או פעילות מלחמה כלשהי נגד רוסיה", אז קבוצת קונטי תשתמש "בכל המשאבים האפשריים כדי להכות בחזרה בתשתיות הקריטיות של אויב".

הפוסט בבלוג הסית כמובן חבר Conti להדליף את התזכירים והצ'אטים הפנימיים של הקבוצה, כפי שדווח על ידי The Record. הקבצים הם בנפח משמעותי וייקח זמן מה ללמוד ולהתפרק, אך חוקרי האבטחה שבדקו אותם אישרו את האותנטיות שלהם - זו אכן התכתבות פנימית של Conti.

כמה דגשים מעניינים של הצ'אטים כוללים מידע על הקשר בין קונטי לכנופיות סייבר אחרות, כולל התלבושות המפעילות את Emotet ו- Trickbot , נתונים לגבי חברות שמעולם לא הודיעו שנפגעו מתוכנת כופר אלא מנהלות משא ומתן או משלמות כופר, וכן כתובות מלאות של ארנק קריפטו בהן קונטי יקבל תשלומי כופר. הצ'אטים כללו גם אישור מחברי Conti שרשת TrickBot אכן נסגרה, כפי שסברו חוקרי אבטחה לאחר שרשת TrickBot רשמה ירידה פתאומית בפעילות בשבוע שעבר.

LockBit Gang לוקח לתשומת לבך את המצב

הפוסט המקורי שהפעיל את הדליפה בשל השפה הלוחצת והאגרסיבית שלו נערך מאז כך שיישמע מתון יותר, אך הדליפה כבר התרחשה. כנופיית תוכנות כופר ידועה לשמצה נוספת - LockBit - שמרה עליה מכסה ופרסמה הודעה בנוסח ניטרלי, שבה נאמר שהם לא יבחרו צד בסכסוך המתמשך, תוך שהיא מציינת שלוקביט היו "א-פוליטיים" והיו בה רק בשביל הכסף.

האם הדלפת המידע הפנימי של Conti תוביל להתפתחויות משמעותיות נותר לראות.