Días después de que el grupo de ransomware Conti emitiera un mensaje prorruso en el que prometía su lealtad a la invasión de Ucrania en curso por parte de Vladimir Putin, un investigador de seguridad anónimo usando el identificador de Twitter @ContiLeaks ha filtrado los chats internos del sindicato.
El volcado de archivos, publicado por el grupo de investigación de malware VX-Undergroundse dice que contiene 13 meses de registros de chat entre afiliados y administradores del grupo de ransomware afiliado a Rusia desde junio de 2020 hasta febrero de 2022, en un movimiento que se espera que ofrezca sin precedentes visión en el funcionamiento interno de la empresa criminal.
«Gloria a Ucrania», dijo el filtrador en su mensaje.
Las conversaciones compartidas muestran que Conti usó compañías de fachada falsas para intentar programar demostraciones de productos con firmas de seguridad como CarbonBlack y Sophos para obtener certificados de firma de código, con los operadores trabajando en sprints de scrum para completar las tareas de desarrollo de software.
Además, los mensajes confirmar el cierre de la botnet TrickBot la semana pasada, así como destacar la estrecha relación del grupo Conti con las pandillas de malware TrickBot y Emotet, la última de las cuales resucitó a fines del año pasado a través de TrickBot.
Un mensaje enviado por uno de los miembros del grupo el 14 de febrero de 2022 dice: «TrickBot no funciona. El proyecto fue cerrado».
Además de eso, también se cree que el filtrador ha publicado el código fuente asociado con los módulos de recopilación de datos y despachador de comandos de TrickBot, sin mencionar la documentación interna del grupo de ransomware, su panel administrativo y un archivo protegido con contraseña que contiene el código fuente para el descifrador y el constructor.
 |
| Fuente: Emilio González (@res260) |
 |
| Fuente: Emilio González (@res260) |
El desarrollo viene como el Conflicto ruso-ucraniano ha dividido el cibercrimen clandestino en dos facciones enfrentadas, con una número creciente de actores de piratería elegir bandos entre los dos países en el frente digital.
El equipo de Conti, en una publicación de blog en su portal web oscuro la semana pasada, prometió su «pleno apoyo» a la invasión rusa y amenazó con tomar represalias contra la infraestructura crítica si Rusia es atacada con ataques cibernéticos o militares.
Sin embargo, más tarde se retractó y dijo: «No nos aliamos con ningún gobierno y condenamos la guerra en curso», pero reiteró que «Usaremos nuestros recursos para contraatacar si se garantiza el bienestar y la seguridad de los ciudadanos pacíficos». en juego debido a la agresión cibernética estadounidense».
los ContiLeaks La saga es parte de un esfuerzo más amplio de los hacktivistas y aliados de seguridad, incluido el «ejército de TI» de Ucrania, para atacar los sitios, servicios e infraestructura rusos como contraataque a los ataques militares del Kremlin. El grupo de piratas informáticos voluntarios, en mensajes compartidos en su canal de Telegram, afirmó que varios sitios web rusos y portales en línea estatales han sido derribados por un aluvión de ataques DDoS.
Por separado, un grupo de piratas informáticos bielorrusos conocidos como Cyber Partisans fijado organizaron un ataque en la red de trenes del país en un esfuerzo por interrumpir los movimientos de tropas rusas hacia Ucrania, mientras que otro grupo llamó ContraElOeste_ dijo que estaba «contra Rusia» y que violó varios sitios web y corporaciones.
The Anonymous, por su parte, también se atribuyó la responsabilidad por interrumpir los sitios web de las agencias de noticias estatales RT, TASS y RIA Novosti, así como los sitios web de los periódicos Kommersant, Izvestiya y la revista Forbes Russia y el gigante petrolero ruso Gazprom.
En todo caso, la guerra cibernética en rápida evolución parece haber puesto en alerta a otros grupos, con los operadores de ransomware LockBit. destino un mensaje neutral que dice «Para nosotros es solo un negocio y todos somos apolíticos. Solo nos interesa el dinero para nuestro trabajo inofensivo y útil».
La cadena de «ataques multitudinarios» por grupos de hackers vigilantes en medio de la intensificación del ataque militar ruso contra Ucrania presenta un «nuevo riesgo de escalada de crisis», dijo Matt Olney, director de inteligencia e interdicción de amenazas en Cisco Talos.
«Los últimos siete días han creado un entorno salvaje de entidades gubernamentales, trabajadores independientes afiliados y actores y afiliados de ataques cibernéticos semilegítimos, todos expulsados por una justa ira nacionalista», agregó Olney. «Los gobiernos están buscando voluntarios para llevar a cabo ataques cibernéticos contra la oposición. Esto presenta un gran riesgo global ya que el potencial de contagio hostil es inmenso».
