<< Timp de câteva luni, membrii Conti – printre cele mai necruțătoare dintre zecile de bande de ransomware existente – s-au bucurat că împărtășesc în mod public datele pe care le furaseră de la victimele pe care le-au piratat. Acum, membrii învață cum este să fii la primire, când e vorba de o breșă majoră de securitate, care îți varsă toate rufele murdare – nu doar o dată, ci în mod repetat >>, notează ArsTehnica.
<< Seria de scurgeri care se desfășoară a început duminică, atunci când @ContiLeaks, un cont Twitter nou creat, a început să posteze link-uri către jurnalele de mesaje de chat interne, pe care membrii Conti le-au trimis între ei.
Două zile mai târziu, ContiLeaks a publicat o nouă tranșă de mesaje.
Fă-l scrum
Miercuri, ContiLeaks a revenit cu mai multe chat-uri scurse. Cel mai recent pachet publicat a arătat anteturi cu date din zilele de marți și miercuri, un indiciu că divulgatorul necunoscut a continuat să aibă acces la serverul intern al bandei Jabber/XMPP.
„Bună, cum sunt lucrurile cu noi?” un lucrător Conti numit Tort a scris într-un mesaj de miercuri către un coleg de bandă pe nume Green, potrivit Google Translate. Tort a continuat să raporteze că cineva a „șters toate fermele, le-a tocat și a curățat serverele”. O astfel de mișcare a sugerat că Conti își dezmembra infrastructura considerabilă, de teamă că scurgerile i-ar expune pe membri anchetatorilor forțelor de ordine din întreaga lume.
Într-un alt tweet, ContiLeaks a scris: „Glorie pentru Ucraina!” Acest lucru a implicat că scurgerea a fost motivată, cel puțin parțial, ca răspuns la o declarație postată pe site-ul Conti, pe dark web, conform căreia membrii grupului ne vor „utiliza întreaga capacitate de a veni cu măsuri de represalii în cazul în care instigatorii la război, de Vest, încearcă să vizeze infrastructura critică din Rusia sau orice regiune a lumii vorbitoare de limbă rusă”.
KrebsOnSecurity, citând pe Alex Holden, fondatorul de origine ucraineană al firmei de informații cibernetice Hold Security, din Milwaukee, a raportat că ContiLeaks este un cercetător ucrainean în domeniul securității. „Acesta este modul lui de a-i opri cel puțin în mintea lui”, adaugă KrebsOnSecurity. Alți cercetători au speculat că autorul divulgărilor este un angajat ucrainean sau un asociat de afaceri al Conti, care ar fi rupt-o cu șefii Conti din Rusia atunci când au promis sprijin pentru Kremlin.
În total, scurgerile de informații – care sunt arhivate aici – descriu funcționarea internă a grupului, de-a lungul a aproape doi ani. Pe 22 septembrie 2020, de exemplu, un lider Conti care folosea pseudonimul Hof a dezvăluit faptul că ceva părea să fie îngrozitor în neregulă cu Trickbot, o rețea botnet pentru închiriere pe care Conti și alte grupuri criminale o folosiseră pentru a-și implementa malware-ul.
„Cel care a făcut această mizerie, a făcut-o foarte bine”, a scris Hof, în timp ce studia cu atenție un implant misterios pe care cineva îl instalase pentru a determina mașinile infectate cu Trickbot să se deconecteze de la serverul de comandă și control care le dădea instrucțiuni. „Știa cum funcționează botul, adică probabil că a văzut codul sursă sau l-a inversat. În plus, el a criptat cumva configurația, adică avea un codificator și o cheie privată, plus a încărcat totul în panoul de administrare. Este doar un fel de sabotaj”.
Va fi panică… și zgomot
La 17 zile după ce Hof a furnizat analiza, The Washington Post a raportat că sabotajul fusese opera Comandamentului Cibernetic al SUA, o ramură a Departamentului de Apărare condusă de directorul Agenției de Securitate Națională.
Pe măsură ce membrii Conti au încercat să-și reconstruiască infrastructura malware, la sfârșitul lunii octombrie, rețeaua sa de sisteme infectate s-a dezvoltat brusc, afectând 428 de unități medicale din SUA, a raportat KrebsOnSecurity. Conducerea a decis să folosească oportunitatea pentru a reporni operațiunile Conti prin implementarea simultană a ransomware-ului său în organizațiile de îngrijire a sănătății care cedau sub presiunea unei pandemii globale.
„La naiba cu clinicile din SUA, săptămâna aceasta”, a scris un manager Conti cu pseudonimul Target, pe 26 octombrie 2020. „Va fi panică. 428 de spitale”.
Alte jurnale de chat analizate de KrebsOnSecurity îi arată pe angajații Conti care mârâie din cauza salariilor mici, programului lung, rutinei de lucru istovitoare și ineficienței birocratice.
La 1 martie 2021, de exemplu, un angajat de rang mic al Conti, numit Carter, le-a raportat superiorilor că fondul bitcoin folosit pentru a plăti abonamentele VPN, licențe de produse antivirus, servere noi și înregistrări de domenii era mai mic cu 1.240 USD.
Opt luni mai târziu, Carter cerșea din nou. „Bună ziua, nu avem bitcoini (…) Vă rugăm să trimiteți niște bitcoini la acest portofel, mulțumesc”. >>
