„Neonacistická junta bude zlikvidovaná.“ O čom si písal najaktívnejší hackerský gang?

Na internet unikli správy ruských hackerov z Conti po tom, čo hackerská skupina vyjadrila podporu ruskej vláde ohľadom útoku na Ukrajinu. Správy naznačujú, že minimálne v jednom prípade spolupracovala s ruskou Federálnou službou bezpečnosti (FSB). Staršie správy obsahovali aj plánovanie útoku na stovky nemocníc.

Krátko po ruskej invázii na Ukrajinu ohlásil ransomvérový gang Conti plnú podporu ruskej vláde. Stanovisko prišlo po tom, čo Ukrajina vyzvala hackerov, aby jej pomohli chrániť kritickú infraštruktúru a získať informácie ohľadom ruských aktivít.

„Tím Conti oficiálne oznamuje plnú podporu ruskej vlády. Ak sa ktokoľvek rozhodne zorganizovať kybernetický útok alebo akékoľvek vojnové aktivity proti Rusku, využijeme všetky naše možné zdroje na odvetný úder na kritickú infraštruktúru nepriateľa,“ napísali na ich dark webovej stránke.

Podpora ruskej vlády sa však ukázala ako chybný krok. Ihneď po stanovisku totiž začali niektorí klienti prechádzať ku konkurencii. Taktiež došlo k úniku interných správ skupiny a zdrojového kódu ransomvéru.

Unikli desiatky tisíc správ z konverzácií, zdrojový kód príkazového a riadiaceho servera a taktiež zdrojový kód ransomvéru Conti. Uniknuté správy pochádzajú z platforiem RocketChat a Jabber.

O čom si písali hackeri z Conti?

Skupina viedla živú diskusiu o ruskej invázii na Ukrajinu. Zatiaľ čo niektorí dúfali v skorý pád Kyjeva, ďalší kritizovali Putinovo ego.

24-02-2022 10:01:33 patrick: Putin dnes odpovie na všetky otázky, dúfam, že do večera bude Kyjev náš

24-02-2022 10:02:47 biggie: aký to má zmysel

24-02-2022 10:03:02 elijah: „do večera bude Kyjev náš“ – a??? Aký z toho bude zisk, teda, okrem posilnenia chlapíkovho ega a ďalšieho dôvodu pre prešívané bundy [vlastencov/národovcov], aby sa na kráľa vykašľali?

24-02-2022 10:03:07 biggie: budú len ľudia umierať a to je všetko

24-02-2022 10:05:11 patrick: neonacistická junta bude zlikvidovaná a stíhaná, civilisti trpieť nebudú

Zdroj správ: The Intercept 

Konanie na príkaz ruskej tajnej služby

Zaujímavé sú aj správy, ktoré by mohli Conti usvedčovať zo spolupráce s ruskou Federálnou službou bezpečnosti. Nie je však jasné, či išlo len o tento konkrétny prípad alebo ich bolo viac.

Kontext situácie dopĺňa Christo Grozev z investigatívnej skupiny Bellingcat. „Minulý rok sme dostali anonymný tip, že „globálna kybernetická zločinecká skupina konajúca na príkaz FSB hackla jedného z vašich prispievateľov. Jediné, čo ich zaujímalo, bolo čokoľvek, čo súviselo s vaším vyšetrovaním ohľadom Navaľného,““ napísal Grozev na Twitteri.

Človek s prezývkou „johnyboy77“ kontaktoval vysokopostaveného člena gangu „manga“ ohľadom vyšetrovania Bellingcatu. Mango preposlal správy hackerovi s prezývkou „profesor“.

09-04-2021 18:31:25 mango:

21:21:02 <johnyboy77> v skratke, je tu mail osoby z bellingcat 

21:21:06 <johnyboy77> ktorý konkrétne pracuje v RU a UA smere 

21:21:06 <johnyboy77> povedz to 

21:21:08 <johnyboy77> a všetky jeho heslá sú tam 

21:21:17 <johnyboy77> a je stále platná 

21:30:56 <mango> no, stiahni korešpondenciu, aspoň ich prever

21:31:05 <mango> potrebujem konkrétnosti braček o čom hovoriť

21:31:07 <johnyboy77> teraz stiahni súbory

21:31:12 <johnyboy77> NAVALNI FSB

21:31:13 <johnyboy77> aj toto

21:31:18 <johnyboy77> teraz

2021-04-09 18:31:26 mango: 🙂

Zdroj správ: Christo Grozev; The Intercept

Útoky na nemocnice počas pandémie

Hackeri neváhali využiť ani pandemickú situáciu. Útoky na zdravotnícke zariadenia im totiž priniesli pozornosť médií a nemocnice mali motiváciu zaplatiť výkupné, pretože si často nemohli dovoliť obmedzenie prevádzky na niekoľko dní až týždňov.

To viedlo k zvýšenému počtu kyberútokov a navýšeniu požadovaného výkupného. V roku 2020 priemerné výkupné, ktoré požadovali hackeri, predstavovalo 300-tisíc dolárov. Čiastka minulý rok narástla na 541-tisíc dolárov. Aj v tomto ohľade sa angažovala skupina Conti.

V októbri zaznamenala sieť amerických nemocníc Universal Health Services Inc. niekoľko útokov ransomvérom Ryuk. Sieť odmietla zaplatiť výkupné, čo ju stálo 67 miliónov dolárov kvôli stratám na zisku a výdajoch na obnovu siete.

Uniknuté správy naznačujú, že za útokmi mohla byť priamo Conti. Hacker „Target“ v nich písal hackerovi „Troy“ ohľadom útoku na americké nemocnice pár dní pred tým, ako ich spoločnosť Universal Health Services zaznamenala:

  •    26.10.2020 05:32:20: V USA 
  •    26.10.2020 05:32:21: Nastane panika 
  •    26.10.2020 05:32:29: 428 nemocníc 
  •    26.10.2020 05:32:34: 2 až 4 koordinované kontakty 
  •    26.10.2020 05:32:47: Teraz všetko závisí na tebe 

Zdroj správ: The Wall Street Journal 

Ryuk bol použitý k útokom na najmenej 235 nemocníc a ďalšie zdravotnícke zariadenia v USA od roku 2018. V roku 2021 bol Ryuk použitý k 16 útokom na zdravotnícke zariadenia v USA a predtým aj v Írsku.

Conti na únik reagovala demontovaním zdrojového kódu ransomvéru a zmazaním záznamov. Jej hackeri sa môžu v budúcnosti objaviť znovu pod iným menom.

V roku 2021 sa podarilo skupine „zarobiť“ 180 miliónov dolárov v kryptomenách, čo z nej robí najúspešnejšiu ransomvérovú skupinu. Išlo o príjmy z vlastných aktivít ako aj predaja zdrojového kódu svojho ransomvéru.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Študent bakalárskeho stupňa Politológie a Bezpečnostných a strategických štúdií na Masarykovej univerzite v Brne. Venuje sa vplyvovým operáciam, propagande a kybernetickej bezpečnosti. Tiež sa zaujíma o problematiku digitálneho súkromia a východoázijskú politiku. Kontakt: lukas.janovic@infosecurity.sk