泄露受害者数据时,Conti cybergang 幸灾乐祸。现在形势已经逆转

将近两年的聊天记录显示了该组织的肮脏交易

 

 

几个月来,Conti 的成员——在现有的数十个勒索软件团伙中最无情的一个——幸灾乐祸地公开分享他们从被黑客攻击的受害者那里窃取的数据。现在,成员们正在了解在一次重大泄露事件的接收端是什么感觉,泄露了他们所有的脏衣服——不仅仅是一次,而是反复。

一系列泄密事件始于周日,当时新创建的 Twitter 帐户@ContiLeaks开始发布指向 Conti 成员之间发送的内部聊天消息日志的链接。

两天后,ContiLeaks 发布了一批新消息。

把它烧到地上

周三,ContiLeaks 回来了更多泄露的聊天记录。最新的消息显示了周二和周三的标题,这表明未知的泄密者继续可以访问该团伙的内部Jabber/XMPP服务器。

“你好,我们最近怎么样?” 据谷歌翻译称,一名名叫 Tort 的 Conti 工作人员在周三给一个名叫 Green 的帮派同事的信息中写道。Tort 继续报告说,有人“用碎纸机删除了所有农场并清理了服务器。” 这样的举动表明,Conti 正在拆除其庞大的基础设施,因为担心泄密会使成员暴露在世界各地的执法调查人员面前。

另一条推文中,ContiLeaks 写道:“乌克兰的荣耀!” 这意味着泄密的动机,至少部分是为了回应在暗网上张贴在孔蒂网站上的声明,即组织成员将“利用我们的全部能力采取报复措施,以防西方战争贩子试图以关键基础设施为目标。俄罗斯或世界上任何讲俄语的地区。”

KrebsOnSecurity 援引密尔沃基网络情报公司 Hold Security 的乌克兰裔创始人 Alex Holden的话说, ContiLeaks是一名乌克兰安全研究员。“这是他至少在脑海中阻止他们的方式,”KrebsOnSecurity 补充道。其他研究人员推测,泄密者是孔蒂的乌克兰雇员或商业伙伴,当孔蒂的俄罗斯领导人承诺支持克里姆林宫时,他与孔蒂的俄罗斯领导人决裂。

总而言之,这些泄密事件——存档在这里——记录了该组织近两年的内部运作。例如,2020 年 9 月 22 日,一位使用 Hof 句柄的 Conti 领导人透露,Trickbot 似乎存在严重问题,这是一个出租僵尸网络,Conti 和其他犯罪集团用来部署他们的恶意软件。

“制造这种垃圾的人做得很好,”霍夫在仔细研究某人安装的神秘植入物时写道,该植入物会导致受 Trickbot 感染的机器与向它们提供指令的命令和控制服务器断开连接。“他知道机器人是如何工作的,也就是说,他可能看到了源代码,或者逆向了它。另外,他以某种方式加密了配置,即他有一个编码器和一个私钥,并将其全部上传到管理面板。这只是某种破坏活动。”

会有恐慌……和卑躬屈膝

霍夫发表分析报告 17 天后,《华盛顿邮报》报道称,这次破坏是美国网络司令部的工作,该司令部是由国家安全局局长领导的国防部下属部门。

据 KrebsOnSecurity 报道,随着 Conti 成员在 10 月下旬试图重建他们的恶意软件基础设施,其受感染系统网络突然如雨后春笋般涌现,包括美国的 428 家医疗机构。领导层决定利用这个机会重新启动 Conti 的运营,同时将其勒索软件部署到在全球大流行的压力下屈服的医疗保健组织。

2020 年 10 月 26 日,一位名叫 Target 的 Conti 经理写道:“本周去美国的诊所。”会有恐慌。428家医院。”

KrebsOnSecurity 分析的其他聊天记录显示,Conti 的员工抱怨低工资、长时间工作、艰苦的工作程序和官僚效率低下。

例如,2021 年 3 月 1 日,一位名叫 Carter 的低级别 Conti 员工向上级报告说,用于支付 VPN 订阅、防病毒产品许可证、新服务器和域注册的比特币基金短缺 1,240 美元。

八个月后,卡特再次卑躬屈膝。

“你好,我们的比特币用完了,”卡特写道。“四个新服务器、三个 vpn 订阅和 22 个续订已经结束。提前两周以 960 美元的比特币 0.017 续订。请向这个钱包发送一些比特币,谢谢。”