Conti Ransomware’in Dahili Sohbetleri Rusya’nın Tarafını Tuttuktan Sonra Sızdırıldı
Ukraynalı bir güvenlik araştırmacısı, çetenin Ukrayna'nın işgali konusunda Rusya'nın yanında yer almasının ardından Conti fidye yazılımı operasyonuna ait 60.000'den fazla dahili mesajı sızdırdı.
BleepingComputer, Conti'nin Shutterfly'a saldırısıyla ilgili olarak daha önce BleepingComputer ile paylaşılan dahili konuşmalardaki bu mesajların geçerliliğini bağımsız olarak onayladı.
Son birkaç yıldır Conti/TrickBot operasyonunu izleyen AdvIntel CEO'su Vitali Kremez de BleepingComputer'a sızdırılan mesajların geçerli olduğunu ve fidye yazılımı çetesi tarafından kullanılan Jabber iletişim sistemi için bir günlük sunucusundan alındığını doğruladı.
Kremez, BleepingComputer'a verilerin Conti'nin XMPP sohbet sunucusu için "ejabberd veritabanı" arka ucuna erişimi olan bir araştırmacı tarafından sızdırıldığını söyledi. Bu, siber güvenlik firması Hold Security tarafından da doğrulandı.
Toplamda, 21 Ocak 2021'den bugüne kadar toplam 60.694 mesaj içeren 393 sızdırılmış JSON dosyası var. Conti, operasyonlarını Temmuz 2020'de başlattı, bu nedenle iç konuşmalarının büyük bir bölümünü içeriyor olsa da, hepsi bu değil.
Bu konuşmalar, daha önce bildirilmemiş kurbanlar, özel veri sızıntısı URL'leri, bitcoin adresleri ve operasyonlarıyla ilgili tartışmalar dahil olmak üzere çetenin faaliyetleri hakkında çeşitli bilgiler içerir.
Örneğin, aşağıdaki konuşma, BleepingComputer'ın Aralık ayında Shutterfly'a yapılan saldırıyı nasıl öğrendiğini merak eden Conti üyeleridir.
Kremez , geçen hafta bildirdiğimiz üzere TrickBot operasyonunun nasıl kapatıldığını tartışırken bulduğu bir konuşma da paylaştı.
Ayrıca Conti/TrickBot'un Diavol fidye yazılımı operasyonu ve Ransomwhere sitesine eklenen 13 milyon dolarlık ödeme içeren 239 bitcoin adresi hakkında konuşmalar var.
239 Bitcoin addresses representing ~$13.1 million in payments from the Conti leak have been added to https://t.co/lBxHWCQm7S. The full dataset is available to download from the site.#ransomware #Conti
— Ransomwhere (@ransomwhere_) February 27, 2022
Bu mesajların sızdırılması, fidye yazılımı operasyonuna ciddi bir darbedir ve araştırmacılara ve kolluk kuvvetlerine iç süreçleri hakkında hassas istihbarat sağlar.
Yukarıdaki snippet'ler, sızdırılan konuşmaların yalnızca küçük bir parçası olsa da, önümüzdeki haftalarda verilerden öğrenilen çok daha fazla bilgiyi görmeyi bekleyebiliriz.
Conti'nin Rusya'nın yanında yer almasıyla ilgili mesajlar sızdırıldı
Bu haftanın başlarında, Conti fidye yazılımı operasyonu, Rus hükümetinin Ukrayna'ya yönelik saldırısına tam desteklerini açıklayan bir blog yazısı yayınladı. Ayrıca, herhangi biri Rusya'ya karşı bir siber saldırı düzenlerse, Conti çetesinin kritik altyapıya karşılık vereceği konusunda da uyardılar.
Ukraynalı Conti üyeleri Rusya'nın yanında yer almaktan rahatsız olduktan sonra, Conti çetesi "hiçbir hükümetle ittifak yapmadıklarını" ve "devam eden savaşı kınadıklarını" belirterek mesajlarını başka bir mesajla değiştirdiler.
Ancak, fikirleri çok geç değişti ve Conti'nin arka uç XMPP sunucusuna erişimi olduğu bildirilen Ukraynalı bir güvenlik araştırmacısı, bu gece BleepingComputer'a ve diğer gazetecilere sızdırılan verilerin bağlantısını e-posta ile gönderdi.
Özel görüşmeleri neden sızdırdıklarına ilişkin paylaşılan gerekçe aşağıda okunabilir:
İşte Conti çetesinin tüm boklarını kaybettiğine dair samimi bir uyarı. Lütfen bunun doğru olduğunu bilin.
Bağlantı, sizi terminalinizde tar -xzvf 1.tgz komutu çalıştırılarak açılabilen bir 1.tgz dosyası indirmenize götürecektir.
İlk dökümün içeriği Conti Ransomware çetesinin sohbet iletişimlerini (bugün itibariyle mevcut ve geçmişe giden) içerir. Çok ilginç olacağına söz veriyoruz.
Daha fazla dökümü geliyor, bizi izlemeye devam edin.
Bunu en iyi hikayen olarak yazarak dünyaya yardım edebilirsin.
Kötü amaçlı yazılım veya şaka değildir.
Bu, birçok gazeteci ve araştırmacıya gönderiliyor.
Desteğin için teşekkürler
Ukrayna'ya zafer!
Rusya'nın Ukrayna'yı işgali, bilgisayar korsanlarının, fidye yazılımı çetelerinin ve güvenlik araştırmacılarının çatışmada taraf seçmesine yol açtı.
Bazı fidye yazılımı çeteleri Rusya'nın yanında yer alırken, LockBit gibi diğerleri tarafsız kalıyor.
Öte yandan Ukrayna, gönüllü araştırmacılardan ve bilgisayar korsanlarından Rus hedeflerine siber saldırılar düzenlemek için "BT Ordusuna" katılmalarını istedi ve birçoğu çağrıya katıldı.
Conti'ye gelince, bu sızıntı utanç verici ve operasyonları hakkında muazzam bir içgörü sağlıyor olsa da, onların yakın zamanda ortadan kaybolduğunu görmemiz olası değil. Son zamanlarda gizli BazarBackdoor kötü amaçlı yazılımını ele geçirmeleriyle ve gerçek bir suç örgütü haline gelmeleriyle, ne yazık ki tehdit olmaya devam edecekler.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.