Ukraynalı bir güvenlik araştırmacısı, Rusya'yı Ukrayna'nın işgali üzerine atılan çeteden sonra Conti Ransomware operasyonuna ait 60.000'den fazla iç mesajı sızdırdı.
BleepingComputer, bu mesajların bu mesajların geçerliliğini daha önce daha önce BleepingComputer ile paylaşılan dahili konuşmalardan shapterfly saldırısına ilişkin olarak paylaştı.
Son birkaç yıl boyunca Conti / Trickbot operasyonunu izleyen AdvinTel CEO Vitali Kremez, sızdıran mesajların geçerli olduğu ve Ransomware çetesinin kullandığı Jabber iletişim sistemi için bir günlük sunucusundan bir günlük sunucusundan alındığını da onayladı.
Kremez, BleepingComputer'a, Conti'nin XMPP sohbet sunucusu için "EJABBERD veritabanına" olan bir araştırmacı tarafından verilerin sızdırıldığını söyledi. Bu, siber güvenlik firması tutma güvenliği ile de doğrulandı.
Toplamda, günümüzde 21 Ocak 2021'den bu yana toplam 60.694 mesaj içeren 393 sızdırılmış JSON dosyası bulunmaktadır. Conti, 2020 Temmuz'da faaliyetlerini başlattı, bu yüzden iç konuşmalarının büyük bir parçasını içerdiğinde, hepsi değil.
Bu konuşmalar, daha önce bildirilmemiş mağdurlar, özel veri kaçağı URL'leri, Bitcoin adresleri ve operasyonları hakkında tartışmalar dahil olmak üzere çetenin faaliyetleri hakkında çeşitli bilgiler içerir.
Örneğin, aşağıdaki konuşma, BleepingComputer'ın Aralık ayında shapterfly saldırılarını nasıl öğrendiğini merak eden conti üyeleridir.
Kremez ayrıca, geçen hafta bildirdiği gibi Trickbot operasyonunun nasıl kapatıldığını tartıştığını bulduğu bir snippet'i paylaştı.
Conti / Trickbot'un Diavol Ransomware operasyonu ve Ransomwhere bölgesine eklenen ödemelerde 13 milyon dolar içeren 239 Bitcoin adresleri hakkında da konuşmalar var.
239 Bitcoin adresleri, conti sızıntısından 13,1 milyon dolarlık ödemelerde, https://t.co/lbxhwcqm7'lere eklendi. Tam DataSet, siteden indirilebilir. # Ransomware #conti
Bu mesajların kaçağı, Ransomware operasyonuna ciddi bir darbedir, araştırmacılara ve iç süreçleriyle ilgili kanun yaptırımlarına duyarlı zeka sağlar.
Yukarıdaki snippets sızıntılı konuşmaların sadece küçük bir parçası olsa da, önümüzdeki haftalardaki verilerden öğrenilen çok daha fazla bilgiyi görmeyi bekleyebiliriz.
Bu haftanın başlarında, Conti Ransomware operasyonu, Rus hükümetinin Ukrayna'ya yapılan saldırılarına tam desteğini açıklayan bir blog yazısı yayınladı. Ayrıca, biri Rusya'ya karşı bir cyberattack düzenlediğinde, conti çetesinin kritik altyapıya geri döneceği konusunda uyardı.
Ukraynalı conti iştirakleri, Rusya ile kaplamaya üzüldükten sonra, Conti Gang, mesajlarını bir başkasıyla değiştirdi, "herhangi bir hükümetle müttefiki olmayan" ve "devam eden savaşı kınadıklarını" söylediklerini belirten.
Bununla birlikte, kalp değişikliği çok geç geldi ve Conti'nin Backend XMPP sunucusuna bildirilen bir Ukraynalı güvenlik araştırmacısı, bu gece sızdıran verilere bir linkle BleepingComputer ve diğer gazetecileri e-postayla gönderdi.
Özel konuşmaların neden sızdığı konusunda paylaşılan neden aşağıda okunabilir:
İşte dostça bir başım, conti çetesinin tüm sh * t'yi kaybettiği için. Lütfen bunun doğru olduğunu bilir.
Bağlantı, terminalinizde TAR -XZVF 1.TGZ komutunu çalıştıran bir 1.TGZ dosyasını indirmeniz yeterlidir. İlk çöplüğün içeriği, Conti Ransomware çetesinin sohbet iletişimini (bugünden itibaren geçerli, geçmişe gidin) içerir. Çok ilginç olduğuna söz veriyoruz.
Daha fazla çöplük var, izlemeye devam edin. Bunu en iyi hikayen olarak yazarak dünyaya yardım edebilirsiniz.
Kötü amaçlı yazılım ya da şaka değil. Bu birçok gazeteci ve araştırmacıya gönderiliyor.
Desteğin için teşekkürler
Ukrayna'ya zafer!
Rusya'nın Ukrayna'nın işgali, bilgisayar korsanlarının, fidye yazılım çetelerinin ve güvenlik araştırmalarının çatışmada tarafları seçmesine neden oldu.
Bazı fidye yazılım çeteleri Rusya, diğerleri, lockbit gibi tarafsız kalırken, nötr kalıyor.
Öte yandan, Ukrayna, gönüllü araştırmacılardan ve bilgisayar korsanlarının "BT Ordusunu", Rus Hedeflerine CyberAttack'larına katılmalarını, çağrıya birçok toplantıya sahip olmalarını istedi.
Conti gelince, bu sızıntı utanç verici olsa da, operasyonları ile muazzam bir bakış açısı sağlarken, yakında her zaman gitmelerini görmemiz olasıdır. Gizli Bazarbackdoor kötü amaçlı yazılımın son devraldıkları ve gerçek bir suç sendika haline gelmesiyle, ne yazık ki, bir tehdit olmaya devam edecekler.
Düzeltme 2/28/22: Bu hikaye başlangıçta verileri sızdıran kızgın bir conti kuruluşunu belirtti. BleepingComputer daha sonra bir Ukrayna güvenlik araştırmacısı tarafından sızdırıldığını öğrendi. Bu bilgileri netleştirmek için makale güncellendi.
Ransomware çeteleri, bilgisayar korsanları Rusya'nın üzerinde tarafı seçme Ukrayna
Namecheap, Ruslar için hizmetleri sonlandırır, etki alanlarını hareket ettirmelerini ister.
Microsoft: Ukrayna, istiladan önce yeni Foxblade kötü amaçlı yazılım saatleriyle vurdu.
Ukrayna, 'BT ordusunun' anahtar Rus sitelerini düşürdüğünü söyledi
Ukrayna, Rus varlıklarını kesmek için "BT Ordusu" ı işe alıyor, 31 hedefi listeler
Kaynak: Bleeping Computer