Prywatne czaty grupy Conti Ransomware ujawnione po prorosyjskim poście
Gang Conti ransomware był przez ostatnie kilka lat jednym z najczęściej spotykanych nazwisk w wiadomościach dotyczących bezpieczeństwa IT, jeśli chodzi o oprogramowanie ransomware. Grupa doznała przykrego ciosu pod koniec zeszłego tygodnia, gdy jeden z członków Conti ujawnił szereg plików grupy, w tym wewnętrzne czaty.
Czaty wewnętrzne Conti wyciekają online
Grupa Conti zajmująca się oprogramowaniem ransomware zamieściła w zeszłym tygodniu post na swojej stronie internetowej. Istotą posta było to, że Conti w pełni popierał rosyjski rząd i to, co rosyjskie media wciąż nazywają „operacją wojskową” na Ukrainie. Kulminacją prorosyjskiego posta Conti była groźba, że jeśli ktokolwiek miałby „zorganizować cyberatak lub jakiekolwiek działania wojenne przeciwko Rosji”, to grupa Conti wykorzysta „wszelkie możliwe środki, by uderzyć w krytyczną infrastrukturę wroga”.
Post na blogu najwyraźniej skłonił członka Conti do ujawnienia wewnętrznych notatek i czatów grupy, jak donosi The Record. Akta mają znaczną objętość i pełne przestudiowanie i rozdzielenie zajmie trochę czasu, ale badacze bezpieczeństwa, którzy je zbadali, potwierdzili ich autentyczność - to rzeczywiście wewnętrzna korespondencja Conti.
Niektóre interesujące elementy czatów obejmują informacje o powiązaniach między Conti a innymi cybergangami, w tym organizacjami obsługującymi Emotet i Trickbot, dane dotyczące firm, które nigdy nie ogłosiły, że zostały zaatakowane przez oprogramowanie ransomware, ale negocjują lub płacą okup, a także pełne adresy portfeli kryptowalutowych, w których Conti otrzyma okup. Czaty zawierały również potwierdzenie od członków Conti, że sieć TrickBot rzeczywiście została zamknięta, jak sądzili badacze bezpieczeństwa po tym, jak sieć TrickBot odnotowała nagły spadek aktywności w zeszłym tygodniu.
LockBit Gang odnotowuje sytuację konti
Oryginalny post, który wywołał przeciek z powodu jego natarczywego, agresywnego języka, został od tego czasu zredagowany, by brzmiał łagodniej, ale przeciek już miał miejsce. Inny niesławny gang zajmujący się oprogramowaniem ransomware – LockBit – trzymał to pod przykrywką i opublikował neutralnie sformułowane ogłoszenie, w którym stwierdził, że nie będzie obierał stron w trwającym konflikcie, twierdząc, że LockBit był „apolityczny” i był w nim tylko dla pieniędzy.
Nie wiadomo, czy wyciek wewnętrznych informacji Conti doprowadzi do jakichkolwiek znaczących zmian.