Február végén a Nemzeti Kibervédelmi Intézet (NKI) is beszámolt róla, hogy egy ukrán biztonsági kutató több mint 60 ezer belső üzenetet szivárogtatott ki a Conti hekkercsoporttól, miután az deklarálta Oroszország melletti elköteleződését az Ukrajna ellen indított háborúban. Az anyag hitelességét több tényező, például a Shutterfly elleni ransomware támadásból származó információkkal való egyezés is alátámasztotta, így a szakértők szerint az valóban a Conti XMPP szerveréről származnak.

A nyilvánosságra hozott üzenetek eddig nem ismert áldozatokról is tartalmaznak adatokat, emellett adatszivárgási linkek, bitcoin címek és a támadási műveletekkel összefüggésben folytatott belső egyeztetések is napvilágra kerültek. A beszélgetések tavaly januárig nyúlnak vissza, így az NKI szerint akkor is nagyon fontos, a nyomozást elősegítő anyagról van szó, ha maga a Conti csoport legalább 2020 júliusa óta folytathatja a zsarolóprogramokra épülő tevékenységét.

A legfrissebb hírek azonban már arról szólnak, hogy az állítólagos biztonsági kutató, aki az orosz invázió támogatása miatt belülről támadta meg a bűnözői kollektívát, újabb (és még nagyobb) adag üzenetváltást tett közzé. Az összesen 148 darab JSON fájl ezúttal 107 ezer üzenetet tartalmazott 2020 nyaráig visszamenően, később pedig az ex-bandatag kiszolgáltatta a Conti ransomware, a BazarBackdoor API-k és a TrickBot c&c szerver forráskódját és egyéb információkat.

Bár a szivárogtató nem osztotta meg nyilvánosan a jelszót, egy másik kutató hamarosan feltörte azt, így mindenki hozzáférhet a Conti ransomware rosszindulatú fájlok forrásához. Ez a biztonsági szakembereknek nyilván nagyszerű dolog, de korábbi példák azt mutatják, hogy a jó minőségűnek mondott kódok segítségével más bűnözők is elindíthatják saját műveleteiket – derül ki a Bleeping Computer beszámolójából.

A bűnözőknél sem könnyű a személyzetisek munkája

Hogy a Conti csoport működésére milyen hatással lesz a dolog, az nyilván csak a későbbiekben derül ki, de az amerikai hatóságok már ki is adtak egy figyelmeztetést azzal kapcsolatban, hogy a Conti működtetői ettől mág továbbra is aktívak. A és már több mint ezer bejelentett támadást kapcsolnak hozzájuk az Egyesült Államokban és a világ többi részén. A blokklánc-technológiákra szakosodott Chainalysis piackutató becslése szerint a szervezet legalább 180 millió dollárt szedett össze 2021-ben, de ennél egy nagyságrenddel több van a hozzájuk köthető bitcoinos címeken.

A BreachQuest biztonsági szolgáltató elemzéséből az is kiderül, hogy a nyilvánosságra hozott anyagok betekintést nyújtanak a ransomware banda felépítésébe, sőt toborzási és elbocsátási folyamataiba. Eszerint manapság még a bűnszervezeteknek sincs könnyű dolga a megfelelő szakamberek felvételét és megtartását illetően, a Conti csoportnak pedig külön HR-ese is van, aki az új jelöltek folyamatos keresését és toborzását végzi. A bűnözők ezen kívül igyekeznek felkutatni a kiszemelt célpontoknál dolgozó IT-seket is, hogy rajtuk keresztül a backup szervereket is megtámadhassák, illetve olyan érzékeny dokumentumokat szerezzenek meg, amelyekkel még hatékonyabban vehetik rá az áldozatokat a fizetésre.