Krátko po ruskej invázii na Ukrajinu ohlásil ransomvérový gang Conti plnú podporu ruskej vláde. Stanovisko prišlo po tom, čo Ukrajina vyzvala hackerov, aby jej pomohli chrániť kritickú infraštruktúru a získať informácie ohľadom ruských aktivít.
„Tím Conti oficiálne oznamuje plnú podporu ruskej vlády. Ak sa ktokoľvek rozhodne zorganizovať kybernetický útok alebo akékoľvek vojnové aktivity proti Rusku, využijeme všetky naše možné zdroje na odvetný úder na kritickú infraštruktúru nepriateľa,“ napísali na ich dark webovej stránke.
Podpora ruskej vlády sa však ukázala ako chybný krok. Ihneď po stanovisku totiž začali niektorí klienti prechádzať ku konkurencii. Taktiež došlo k úniku interných správ skupiny a zdrojového kódu ransomvéru.
Unikli desiatky tisíc správ z konverzácií, zdrojový kód príkazového a riadiaceho servera a taktiež zdrojový kód ransomvéru Conti. Uniknuté správy pochádzajú z platforiem RocketChat a Jabber.
O čom si písali hackeri z Conti?
Skupina viedla živú diskusiu o ruskej invázii na Ukrajinu. Zatiaľ čo niektorí dúfali v skorý pád Kyjeva, ďalší kritizovali Putinovo ego.
24-02-2022 10:01:33 patrick: Putin dnes odpovie na všetky otázky, dúfam, že do večera bude Kyjev náš
24-02-2022 10:02:47 biggie: aký to má zmysel
24-02-2022 10:03:02 elijah: „do večera bude Kyjev náš“ – a??? Aký z toho bude zisk, teda, okrem posilnenia chlapíkovho ega a ďalšieho dôvodu pre prešívané bundy [vlastencov/národovcov], aby sa na kráľa vykašľali?
24-02-2022 10:03:07 biggie: budú len ľudia umierať a to je všetko
24-02-2022 10:05:11 patrick: neonacistická junta bude zlikvidovaná a stíhaná, civilisti trpieť nebudú
Zdroj správ: The Intercept
Konanie na príkaz ruskej tajnej služby
Zaujímavé sú aj správy, ktoré by mohli Conti usvedčovať zo spolupráce s ruskou Federálnou službou bezpečnosti. Nie je však jasné, či išlo len o tento konkrétny prípad alebo ich bolo viac.
Kontext situácie dopĺňa Christo Grozev z investigatívnej skupiny Bellingcat. „Minulý rok sme dostali anonymný tip, že „globálna kybernetická zločinecká skupina konajúca na príkaz FSB hackla jedného z vašich prispievateľov. Jediné, čo ich zaujímalo, bolo čokoľvek, čo súviselo s vaším vyšetrovaním ohľadom Navaľného,““ napísal Grozev na Twitteri.
Človek s prezývkou „johnyboy77“ kontaktoval vysokopostaveného člena gangu „manga“ ohľadom vyšetrovania Bellingcatu. Mango preposlal správy hackerovi s prezývkou „profesor“.
09-04-2021 18:31:25 mango:
21:21:02 <johnyboy77> v skratke, je tu mail osoby z bellingcat
21:21:06 <johnyboy77> ktorý konkrétne pracuje v RU a UA smere
21:21:06 <johnyboy77> povedz to
21:21:08 <johnyboy77> a všetky jeho heslá sú tam
21:21:17 <johnyboy77> a je stále platná
21:30:56 <mango> no, stiahni korešpondenciu, aspoň ich prever
21:31:05 <mango> potrebujem konkrétnosti braček o čom hovoriť
21:31:07 <johnyboy77> teraz stiahni súbory
21:31:12 <johnyboy77> NAVALNI FSB
21:31:13 <johnyboy77> aj toto
21:31:18 <johnyboy77> teraz
2021-04-09 18:31:26 mango: 🙂
Zdroj správ: Christo Grozev; The Intercept
Útoky na nemocnice počas pandémie
Hackeri neváhali využiť ani pandemickú situáciu. Útoky na zdravotnícke zariadenia im totiž priniesli pozornosť médií a nemocnice mali motiváciu zaplatiť výkupné, pretože si často nemohli dovoliť obmedzenie prevádzky na niekoľko dní až týždňov.
To viedlo k zvýšenému počtu kyberútokov a navýšeniu požadovaného výkupného. V roku 2020 priemerné výkupné, ktoré požadovali hackeri, predstavovalo 300-tisíc dolárov. Čiastka minulý rok narástla na 541-tisíc dolárov. Aj v tomto ohľade sa angažovala skupina Conti.
V októbri zaznamenala sieť amerických nemocníc Universal Health Services Inc. niekoľko útokov ransomvérom Ryuk. Sieť odmietla zaplatiť výkupné, čo ju stálo 67 miliónov dolárov kvôli stratám na zisku a výdajoch na obnovu siete.
Uniknuté správy naznačujú, že za útokmi mohla byť priamo Conti. Hacker „Target“ v nich písal hackerovi „Troy“ ohľadom útoku na americké nemocnice pár dní pred tým, ako ich spoločnosť Universal Health Services zaznamenala:
- 26.10.2020 05:32:20: V USA
- 26.10.2020 05:32:21: Nastane panika
- 26.10.2020 05:32:29: 428 nemocníc
- 26.10.2020 05:32:34: 2 až 4 koordinované kontakty
- 26.10.2020 05:32:47: Teraz všetko závisí na tebe
Zdroj správ: The Wall Street Journal
Ryuk bol použitý k útokom na najmenej 235 nemocníc a ďalšie zdravotnícke zariadenia v USA od roku 2018. V roku 2021 bol Ryuk použitý k 16 útokom na zdravotnícke zariadenia v USA a predtým aj v Írsku.
Conti na únik reagovala demontovaním zdrojového kódu ransomvéru a zmazaním záznamov. Jej hackeri sa môžu v budúcnosti objaviť znovu pod iným menom.
V roku 2021 sa podarilo skupine „zarobiť“ 180 miliónov dolárov v kryptomenách, čo z nej robí najúspešnejšiu ransomvérovú skupinu. Išlo o príjmy z vlastných aktivít ako aj predaja zdrojového kódu svojho ransomvéru.
CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/