Depois de se aliar à Russia na invasão da Ucrânia, o Conti Ransomware teve conversas internas vazadas. Um pesquisador de segurança ucraniano vazou mais de 60.000 mensagens internas pertencentes à operação de ransomware Conti.
O site BleepingComputer confirmou independentemente a validade dessas mensagens de conversas internas compartilhadas anteriormente com o site sobre o ataque de Conti à Shutterfly. O CEO da AdvIntel, Vitali Kremez , que acompanha a operação Conti/TrickBot nos últimos dois anos, também confirmou ao BleepingComputer que as mensagens vazadas são válidas e foram tiradas de um servidor de log para o sistema de comunicação Jabber usado pela gangue de ransomware.
Kremez disse ao BleepingComputer que os dados foram vazados por um pesquisador que teve acesso ao back-end do “banco de dados ejabberd” do servidor de bate-papo XMPP de Conti. Isso também foi confirmado pela empresa de segurança cibernética Hold Security.
Arquivos de conversas do Conti ransomware vazados
No total, existem 393 arquivos JSON vazados contendo um total de 60.694 mensagens desde 21 de janeiro de 2021 até 27 de fevereiro de 2022. A Conti lançou sua operação em julho de 2020, portanto, embora contenha uma grande parte de suas conversas internas, não são todas, lembra o BleepingComputer.
Conteúdo das conversas vazadas
Essas conversas contêm várias informações sobre as atividades da gangue, incluindo vítimas não relatadas anteriormente, URLs de vazamento de dados privados, endereços de bitcoin e discussões sobre suas operações.
Por exemplo, há conversa que mostra os membros do Conti se perguntando como o BleepingComputer soube de seu ataque ao Shutterfly em dezembro. Além disso, um outro trecho de conversa discute como a operação TrickBot foi encerrada.
Também há conversas sobre a operação de ransomware Diavol da Conti/TrickBot e 239 endereços de bitcoin contendo US$ 13 milhões em pagamentos, que foram adicionados ao site Ransomwhere, por exemplo.
O vazamento dessas mensagens é um duro golpe para a operação de ransomware, fornecendo informações confidenciais para pesquisadores e policiais sobre seus processos internos. Embora os trechos mencionados sejam apenas uma pequena parte das conversas vazadas, podemos esperar ver muito mais informações aprendidas com os dados nas próximas semanas.
Mensagens vazadas
No início desta semana, a operação de ransomware Conti publicou uma postagem no blog anunciando seu total apoio ao ataque do governo russo à Ucrânia. Eles também alertaram que, se alguém organizasse um ataque cibernético contra a Rússia, a gangue Conti atacaria a infraestrutura crítica.
Depois que os afiliados ucranianos da Conti ficaram chateados com o lado da Rússia, a gangue Conti substituiu sua mensagem por outra, afirmando que “não se aliam a nenhum governo” e que “condenam a guerra em andamento”.
No entanto, sua mudança de opinião veio tarde demais, e um pesquisador de segurança ucraniano que supostamente teve acesso ao servidor XMPP de Conti enviou um e-mail para BleepingComputer e outros jornalistas esta noite com um link para os dados vazados.
Via: BleepingComputer
