Seorang peneliti keamanan Ukraina telah membocorkan lebih dari 60.000 pesan internal milik operasi ransomware Conti setelah geng tersebut memihak Rusia atas invasi ke Ukraina.
BleepingComputer secara independen telah mengkonfirmasi validitas pesan-pesan ini dari percakapan internal yang sebelumnya dibagikan dengan BleepingComputer mengenai serangan Conti pada Shutterfly.
CEO AdvIntel Vitali Kremez, yang telah melacak operasi Conti/TrickBot selama beberapa tahun terakhir, juga mengkonfirmasi kepada BleepingComputer bahwa pesan yang bocor itu valid dan diambil dari server log untuk sistem komunikasi Jabber yang digunakan oleh geng ransomware.
Kremez mengatakan kepada BleepingComputer bahwa data tersebut dibocorkan oleh seorang peneliti yang memiliki akses ke backend "database ejabberd" untuk server obrolan XMPP Conti. Ini juga dikonfirmasi oleh perusahaan keamanan siber Hold Security.
Total ada 393 file JSON bocor yang berisi total 60.694 pesan sejak 21 Januari 2021 hingga hari ini. Conti meluncurkan operasi mereka pada Juli 2020, jadi meskipun berisi sebagian besar percakapan internal mereka, tidak semuanya.
Percakapan ini berisi berbagai informasi tentang aktivitas geng, termasuk korban yang sebelumnya tidak dilaporkan, URL kebocoran data pribadi, alamat bitcoin, dan diskusi tentang operasi mereka.
Misalnya, percakapan di bawah ini adalah anggota Conti bertanya-tanya bagaimana BleepingComputer mengetahui serangan mereka terhadap Shutterfly pada bulan Desember.
Kremez juga membagikan cuplikan percakapan yang dia temukan membahas bagaimana operasi TrickBot ditutup, seperti yang kami laporkan minggu lalu.
Ada juga percakapan tentang operasi ransomware Diavol Conti/TrickBot dan 239 alamat bitcoin yang berisi pembayaran $13 juta, yang ditambahkan ke situs Ransomwhere.
https://twitter.com/ransomwhere_/status/1498084559136645125?t=YRQ2Y5G0hBBZsFmzbQE-Xw&s=19
Kebocoran pesan-pesan ini merupakan pukulan telak bagi operasi ransomware, yang memberikan intelijen sensitif kepada para peneliti dan penegak hukum tentang proses internal mereka.
Sementara cuplikan di atas hanyalah sebagian kecil dari percakapan yang bocor, kita dapat berharap untuk melihat lebih banyak informasi yang dipelajari dari data dalam beberapa minggu mendatang.
Pesan bocor tentang keberpihakan Conti dengan Rusia
Awal pekan ini, operasi ransomware Conti menerbitkan sebuah posting blog yang mengumumkan dukungan penuh mereka untuk serangan pemerintah Rusia di Ukraina. Mereka juga memperingatkan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, geng Conti akan menyerang kembali infrastruktur penting.
Setelah afiliasi Conti Ukraina menjadi marah karena berpihak pada Rusia, geng Conti mengganti pesan mereka dengan yang lain, menyatakan bahwa mereka "tidak bersekutu dengan pemerintah mana pun" dan bahwa mereka "mengutuk perang yang sedang berlangsung."
Namun, perubahan hati mereka datang terlambat, dan seorang peneliti keamanan Ukraina yang dilaporkan memiliki akses ke server XMPP backend Conti mengirim email ke BleepingComputer dan jurnalis lain malam ini dengan tautan ke data yang bocor.
Alasan mengapa mereka membocorkan percakapan pribadi dapat dibaca di bawah ini:
Here is a friendly heads-up that the Conti gang has just lost all their sh*t. Please know this is true.
The link will take you to download an 1.tgz file that can be unpacked running tar -xzvf 1.tgz command in your terminal .
The contents of the first dump contain the chat communications (current, as of today and going to the past) of the Conti Ransomware gang. We promise it is very interesting.
There are more dumps coming , stay tuned.
You can help the world by writing this as your top story.
It is not malware or a joke.
This is being sent to many journalists and researchers.
Thank you for your support
Glory to Ukraine!
Invasi Rusia ke Ukraina telah menyebabkan peretas, geng ransomware, dan peneliti keamanan memihak dalam konflik.
Sementara beberapa geng ransomware berpihak pada Rusia, yang lain, seperti LockBit, tetap netral.
Di sisi lain, Ukraina telah meminta peneliti sukarelawan dan peretas untuk bergabung dengan "Tentara TI" mereka untuk melakukan serangan siber terhadap target Rusia, dengan banyak yang mendukung seruan tersebut.
Adapun Conti, meskipun kebocoran ini memalukan dan memberikan wawasan luas tentang operasi mereka, kami tidak akan melihat mereka pergi dalam waktu dekat. Dengan mereka baru-baru ini mengambil alih malware BazarBackdoor yang tersembunyi dan menjadi sindikat kejahatan yang sebenarnya, sayangnya, mereka akan terus menjadi ancaman.
Koreksi 28/2/22: Cerita ini awalnya menyatakan afiliasi Conti yang marah yang membocorkan data. BleepingComputer kemudian mengetahui bahwa itu dibocorkan oleh seorang peneliti keamanan Ukraina. Artikel telah diperbarui untuk memperjelas informasi ini.