随着俄罗斯-乌克兰之间的战争持续升级,网络战争也成为双方发力的焦点,越来越多的黑客开始站队,并对对方的支持者发出相应的禁令和威胁。
例如2月25日,Conti 勒索组织就发出警告称,他们将利用所有资源“反击敌人的关键基础设施”来应对针对俄罗斯的网络攻击活动。
大约一个小时之后,Conti 勒索组织就改变了他们的警告,称自己“不与任何政府结盟,我们谴责正在进行的战争”,但将回应西方对俄罗斯关键基础设施的网络攻击。
就在Conti 勒索组织选择支持俄罗斯之后,一名乌克兰籍的成员泄露了6万多条Conti 勒索组织内部聊天的消息。该成员可以访问Conti勒索组织XMPP聊天服务器的“ejabberd 数据库”后端,网络安全公司Hold Security也确认了这一点。
过去一直在追踪Conti/TrickBot操作的AdvIntel首席执行官Vitali Kremez证实了这一消息的正确性,确认泄露的内部聊天记录真实有效,并表示这些消息是从勒索组织成员使用的Jabber通信系统的日志服务器中获取的。
消息内容包括从2021年1月21日至今的所有聊天记录,总共393个JSON文件,其中包含了60694 条消息。这些聊天记录包含有关该团伙活动的各种信息,涉及以前未报告的受害者、私人数据泄露 URL、比特币地址以及有关其操作的讨论。
例如,下面的对话是Conti成员想知道媒体如何得知他们在 12 月对 Shutterfly 的攻击。
Kremez 还分享了他发现的一段对话片段,讨论了TrickBot 操作是如何被关闭的。
还有关于 Conti/TrickBot 的 Diavol 勒索软件操作和包含1300万美元付款的 239 个比特币地址的对话,这些地址被添加到Ransomwhere 网站。
这些聊天记录的公布对于Conti勒索组织来说是一个严重的打击,也为安全人员和执法部门提供了有关其内部流程的敏感情报。虽然目前还只能看到一小部分记录,但是在未来几周内有望获得更多的信息。
俄罗斯入侵乌克兰导致黑客、勒索软件团伙和安全研究人员在冲突中选边站队。虽然一些勒索软件团伙站在俄罗斯一边,但其他勒索软件团伙,如 LockBit,则保持中立。
当然,乌克兰也没有束手待毙,而是要求志愿研究人员和黑客加入他们的“IT军队”,对俄罗斯目标进行网络攻击,许多人都响应号召。
而Conti勒索组织虽然被泄露了大量的内部聊天记录,但是很难就此一蹶不振,直至消失。相反,近段时间他们又接管了隐秘的 BazarBackdoor 恶意软件,逐渐成长为一个真正了网络犯罪集团,依旧会给全世界带来严重的网络攻击威胁,值得我们警惕。
参考来源:
https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/