Chats internos del ransomware Conti filtrados después de ponerse del lado de Rus

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un investigador de seguridad ucraniano filtró más de 60,000 mensajes internos pertenecientes a la operación de ransomware Conti después de que la pandilla se pusiera del lado de Rusia por la invasión de Ucrania.

BleepingComputer ha confirmado de forma independiente la validez de estos mensajes de conversaciones internas sobre el ataque de Conti a Shutterfly.

El CEO de AdvIntel, Vitali Kremez, que ha estado rastreando la operación Conti/TrickBot durante los últimos años, también confirmó que los mensajes filtrados son válidos y fueron tomados de un servidor de registro para el sistema de comunicación Jabber utilizado por la banda de ransomware.

Kremez declaró que los datos fueron filtrados por un investigador que tenía acceso al backend de la "base de datos ejabberd" para el servidor de chat XMPP de Conti. Esto también fue confirmado por la firma de ciberseguridad Hold Security.

En total, hay 393 archivos JSON filtrados que contienen un total de 60 694 mensajes desde el 21 de enero de 2021 hasta hoy. Conti lanzó su operación en julio de 2020, por lo que si bien contiene una gran parte de sus conversaciones internas, no son todas.

Estas conversaciones contienen información diversa sobre las actividades de la pandilla, incluidas víctimas no denunciadas anteriormente, URL de fuga de datos privados, direcciones de bitcoin y discusiones sobre sus operaciones.

Por ejemplo, la siguiente conversación es sobre los miembros de Conti que se preguntan cómo BleepingComputer se enteró de su ataque a Shutterfly en diciembre.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Kremez también compartió un fragmento de conversación que encontró discutiendo cómo se cerró la operación TrickBot.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La filtración de estos mensajes es un duro golpe para la operación de ransomware, ya que proporciona inteligencia confidencial a los investigadores y las fuerzas del orden sobre sus procesos internos.

Si bien los fragmentos anteriores son solo una pequeña parte de las conversaciones filtradas, podemos esperar ver mucha más información extraída de los datos en las próximas semanas.

Mensajes filtrados sobre el lado de Conti con Rusia

A principios de esta semana, la operación de ransomware Conti publicó una entrada de blog en la que anunciaba su pleno apoyo al ataque del gobierno ruso contra Ucrania. También advirtieron que si alguien organizaba un ataque cibernético contra Rusia, la pandilla Conti contraatacaría la infraestructura crítica.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de que los afiliados ucranianos de Conti se molestaron por ponerse del lado de Rusia, la pandilla de Conti reemplazó su mensaje con otro, afirmando que "no se alían con ningún gobierno" y que "condenan la guerra en curso".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, su cambio de opinión llegó demasiado tarde, y un investigador de seguridad ucraniano que supuestamente tenía acceso al servidor XMPP backend de Conti envió un correo electrónico a BleepingComputer y a otros periodistas esta noche con un enlace a los datos filtrados.

La razón compartida de por qué filtraron las conversaciones privadas se puede leer a continuación:

    "Aquí hay un aviso amistoso de que la pandilla Conti acaba de perder toda su mierd__. Por favor, sepa que esto es cierto.

    El enlace lo llevará a descargar un archivo 1.tgz que se puede descomprimir ejecutando el comando tar -xzvf 1.tgz en su terminal.
    El contenido del primer volcado contiene las comunicaciones de chat (actuales, actuales y pasadas) de la pandilla Conti Ransomware. Prometemos que es muy interesante.

    Vienen más descargas, estén atentos.
    Puedes ayudar al mundo escribiendo esto como tu historia principal.

    No es malware o una broma.
    Esto se está enviando a muchos periodistas e investigadores.

    Gracias por tu apoyo

    ¡Gloria a Ucrania!"

La invasión rusa de Ucrania ha llevado a piratas informáticos, bandas de ransomware e investigadores de seguridad a elegir bandos en el conflicto.

Si bien algunas pandillas de ransomware se han puesto del lado de Rusia, otras, como LockBit, se mantienen neutrales.

Por otro lado, Ucrania ha pedido a investigadores voluntarios y piratas informáticos que se unan a su "Ejército de TI" para realizar ataques cibernéticos contra objetivos rusos, y muchos se unieron al llamado.

En cuanto a Conti, si bien esta filtración es vergonzosa y proporciona una visión inmensa de su funcionamiento, no es probable que los veamos desaparecer pronto. Con su reciente toma del malware sigiloso BazarBackdoor y convirtiéndose en un verdadero sindicato del crimen, lamentablemente seguirán siendo una amenaza.

Corrección 28/02/22: Esta historia inicialmente mencionaba a un afiliado enojado de Conti que filtró los datos. BleepingComputer se enteró más tarde de que un investigador de seguridad ucraniano lo filtró. El artículo ha sido actualizado para aclarar esta información.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta