Dagen nadat de Conti-ransomwaregroep een pro-Russisch bericht had uitgezonden waarin zij trouw zwoer aan de voortdurende invasie van Vladimir Poetin in Oekraïne, anonieme beveiligingsonderzoeker met behulp van de Twitter-handle @ContiLeaks heeft de interne chats van het syndicaat gelekt.
De bestandsdump, gepubliceerd door de malware-onderzoeksgroep VX-Undergroundzou 13 maanden aan chatlogs bevatten tussen filialen en beheerders van de aan Rusland gelieerde ransomware-groep van juni 2020 tot februari 2022, in een beweging die naar verwachting zal bieden ongeëvenaard in zicht in de innerlijke werking van de criminele onderneming.
“Glorie aan Oekraïne”, zei de leaker in hun bericht.
Uit de gedeelde gesprekken blijkt dat Conti valse dekmantelbedrijven gebruikte om productdemo’s in te plannen met beveiligingsbedrijven zoals CarbonBlack en Sophos om certificaten voor het ondertekenen van code te verkrijgen, waarbij de operators in scrumsprints werkten om de softwareontwikkelingstaken te voltooien.
Bovendien zijn de berichten bevestigen de sluiting van het TrickBot-botnet vorige week, evenals de nauwe relatie van de Conti-groep met de TrickBot- en Emotet-malwarebendes, waarvan de laatste eind vorig jaar via TrickBot nieuw leven werd ingeblazen.
Een bericht verzonden door een van de leden van de groep op 14 februari 2022 luidt: “TrickBot werkt niet. Het project is gesloten.”
Bovendien zou de leaker ook de broncode hebben vrijgegeven die is gekoppeld aan de commando-dispatcher en datacollector-modules van TrickBot, om nog maar te zwijgen van de interne documentatie van de ransomware-groep, het administratieve paneel en een met een wachtwoord beveiligd archief met de broncode voor de decryptor en de bouwer.
 |
| Bron: Emilio Gonzalez (@res260) |
 |
| Bron: Emilio Gonzalez (@res260) |
De ontwikkeling komt als de Russisch-Oekraïens conflict heeft de cybercriminaliteit onder de grond versplinterd in twee strijdende partijen, met een groeiend aantal hacking-actoren partij kiezen tussen de twee landen op het digitale front.
Het Conti-team betuigde vorige week in een blogpost op zijn dark web-portal zijn “volledige steun” aan de Russische invasie en dreigde wraak te nemen op kritieke infrastructuur als Rusland wordt getroffen door cyber- of militaire aanvallen.
Later kwam het echter terug en zei: “wij sluiten geen bondgenootschap met enige regering en we veroordelen de aanhoudende oorlog”, maar herhaalde dat “we onze middelen zullen gebruiken om terug te slaan als het welzijn en de veiligheid van vreedzame burgers in gevaar komen. op het spel staat vanwege Amerikaanse cyberagressie.”
De ContiLeaks saga maakt deel uit van een bredere inspanning van hacktivisten en veiligheidsbondgenoten, waaronder het Oekraïense ‘IT-leger’, om Russische sites, diensten en infrastructuur aan te vallen als tegenwicht voor de militaire aanvallen van het Kremlin. De vrijwillige hackgroep beweerde in berichten die op zijn Telegram-kanaal werden gedeeld dat verschillende Russische websites en online portals van de staat zijn geveld door een spervuur van DDoS-aanvallen.
Afzonderlijk, een groep Wit-Russische hackers die bekend staat als de Cyber Partizanen verklaarde ze voerden een aanval uit op het treinnetwerk van het land in een poging de Russische troepenbewegingen naar Oekraïne te verstoren, terwijl een andere groep belde TegenHet Westen_ zei dat het “tegen Rusland was” en dat het een aantal websites en bedrijven had geschonden.
The Anonymous, van zijn kant, ook verantwoordelijkheid opgeëist voor het verstoren van de websites van de staatspersbureaus RT, TASS en RIA Novosti, evenals websites van de kranten Kommersant, Izvestiya, en Forbes Russia magazine en de Russische oliegigant Gazprom.
De snel evoluerende cyberoorlog lijkt in ieder geval andere groepen alert te hebben gemaakt, wat met LockBit ransomware-operators posten een neutrale boodschap, waarin staat: “Voor ons is het gewoon zaken en we zijn allemaal apolitiek. We zijn alleen geïnteresseerd in geld voor ons onschadelijke en nuttige werk.”
De reeks van “crowd-sourced aanvallenMatt Olney, directeur van bedreigingsinformatie en verbod bij Cisco Talos, door burgerwachten van hackergroepen te midden van een intensivering van de Russische militaire aanval op Oekraïne, vormt een “nieuw risico op escalatie van de crisis”.
“De afgelopen zeven dagen hebben we een wilde omgeving gecreëerd van overheidsinstanties, gelieerde freelancers en semi-legitieme cyberaanval-actoren en filialen, allemaal verdreven uit gerechtvaardigde nationalistische woede”, voegde Olney eraan toe. “Regeringen zijn op zoek naar vrijwilligers om cyberaanvallen tegen de oppositie uit te voeren. Dit vormt een enorm wereldwijd risico, aangezien het potentieel voor vijandige overloop immens is.”
