Revelan conversaciones privadas de la peligrosa banda de ransomware Conti
Un investigador de seguridad ucraniano filtró más de 60,000 mensajes internos pertenecientes a la banda de ransomware Conti. La filtración ocurrió después de que la banda mostrara su apoyo a Rusia por la invasión a Ucrania.
Algunos medios han confirmado de forma independiente la validez de estos mensajes de conversaciones internas sobre el ataque de Conti a Shutterfly.
El CEO de AdvIntel, Vitali Kremez, que ha estado rastreando la operación Conti/TrickBot durante los últimos años, también confirmó que los mensajes filtrados son reales. Estos mensajes fueron extraídos de un servidor de registro del sistema de comunicación Jabber utilizado por la banda de ransomware.
Kremez dijo que los datos fueron filtrados por un investigador que tenía acceso al backend de la “base de datos ejabberd” para el servidor de chat XMPP de Conti. Esto también fue confirmado por la firma de ciberseguridad Hold Security.
En total, hay 393 archivos JSON filtrados que contienen un total de 60,694 mensajes desde el 21 de enero de 2021 hasta hoy. Conti inició sus operaciones en julio de 2020, por lo que si bien contiene una gran parte de sus conversaciones internas, no son todas.
Estas conversaciones contienen diversa información sobre las actividades de la banda. Entre la información se encuentran víctimas no conocidas anteriormente, URLs de fuga de datos privados, direcciones de bitcoin y discusiones sobre sus operaciones.
Por ejemplo, la siguiente conversación es sobre los miembros de Conti que se preguntan cómo un medio de comunicación se enteró de su ataque a Shutterfly en diciembre.
Kremez también compartió un fragmento de conversación que encontró discutiendo cómo cerraron la operación TrickBot.
Información financiera
También hemos observado conversaciones sobre la banda de ransomware Diavol de Conti/TrickBot y 239 direcciones de bitcoin que contienen $13 millones en pagos, que se agregaron al sitio Ransomwhere.
La filtración de estos mensajes es un duro golpe para la banda de ransomware, ya que proporciona inteligencia confidencial a los investigadores y las autoridades sobre sus procesos internos.
Si bien los fragmentos anteriores son solo una pequeña parte de las conversaciones filtradas, podemos esperar ver mucha más información extraída de los datos en las próximas semanas.
Mensajes filtrados después de que Conti mostrara su apoyo a Rusia
A principios de esta semana, la banda de ransomware Conti publicó un artículo en el que anunciaba su pleno apoyo al ataque del gobierno ruso contra Ucrania. También advirtieron que si alguien organizaba un ataque cibernético contra Rusia, Conti contraatacaría la infraestructura crítica.
Después de que los afiliados ucranianos de Conti se molestaron por ponerse del lado de Rusia, Conti reemplazó su mensaje con otro. En el nuevo mensaje afirmaron que “no se alían con ningún gobierno” y que “condenan la guerra en curso”.
Sin embargo, su cambio de opinión llegó demasiado tarde. Un investigador de seguridad ucraniano que supuestamente tenía acceso al servidor XMPP backend de Conti envió un correo electrónico a diversos periodistas el domingo en la noche con un enlace a los datos filtrados.
La razón de por qué filtró las conversaciones privadas las puedes leer a continuación:
Aquí hay un aviso amistoso de que la banda Conti acaba de perder toda su mie***. Por favor, debes saber que esto es cierto.
El enlace te llevará a descargar el archivo 1.tgz que se puede descomprimir ejecutando el comando tar -xzvf 1.tgz en tu terminal.
El contenido del primer volcado contiene las comunicaciones de chat (actuales, actuales y pasadas) de la banda de ransomware Conti. Te prometo que es muy interesante.
Vienen más descargas, deben estar atentos.
Puedes ayudar al mundo escribiendo esto como tu historia principal.
No es malware o una broma.
Esto lo he enviado a muchos periodistas e investigadores.
Gracias por tu apoyo
¡Gloria a Ucrania!
Ciberguerra
La invasión de Rusia a Ucrania ha llevado a hackers, bandas de ransomware e investigadores de seguridad a tomar partido en el conflicto.
Si bien bandas de ransomware se han puesto del lado de Rusia, otras, como LockBit, se han mantenido neutrales.
Por otro lado, Ucrania ha pedido a investigadores voluntarios y hackers que se unan a su “Ejército Informático” para realizar ataques cibernéticos contra objetivos rusos, y muchos se unieron al llamado.
En cuanto a Conti, si bien esta filtración es vergonzosa y proporciona una visión inmensa de su funcionamiento, no es probable que los veamos desaparecer pronto. La reciente adquisición del sigiloso malware BazarBackdoor les permitirá convertirse en un verdadero sindicato del crimen, por lo que, lamentablemente seguirán siendo una amenaza.
