Član zloglasne ransomware grupe Conti izdao grupu i objavio prepiske i kod malvera

Vesti, 04.03.2022, 08:00 AM

Član zloglasne ransomware grupe Conti izdao grupu i objavio prepiske i kod malvera

Član hakerske grupe Conti za kojeg se veruje da je poreklom Ukrajinac, okrenuo se protiv grupe i objavio sve IoC-ove (indikator kompromisa) i izvorni kod malvera TrickBot, ali i interne razgovore članova grupe kada su lideri grupe objavili preteću poruku na svom veb sajtu kojom su se svrstali na stranu Rusije. Tako je i jedan malver postao žrtva rata u Ukrajini.

Poruke koje su procurile otkrile su odnos grupe Conti sa grupama TrickBot i Emotet, od kojih je grupa Conti iznajmljivala pristup zaraženim računarima da bi instalirala svoj ransomware. Poruke sadrže detalje o pregovorima o otkupnini i isplate kompanija koje nisu otkrile da su hakovane. Takođe, poruke otkrivaju i Bitcoin adrese na koje su žrtve uplaćivale otkupninu. Poruke su potvrdile da je serverska infrastruktura TrickBota ugašena posle mesec dana neaktivnosti. Odbegli član grupe je rekao da je ovo što je objavio samo prvi deo veće kolekcije fajlova grupe Conti koje planira da objavi u budućnosti.

Ovo izdaja će dati istraživačima širom sveta uvid u delovanje ovih grupa i mogućnost da završe sa Trickbotom.

TrickBot je nastao 2016. godine, kao bankarski trojanac, da bi vremenom evoluirao u vrlo otporan i sofisticiran botnet koji se ne koristi samo za krađu bankarskih akreditiva i fišing, već se rentira drugim sajber kriminalcima koji ga koriste za isporuku svojih malvera žrtvama, uključujući i ransomware. Najnovija verzija TrickBota širi Emotet, još jednan dobro poznati trojanac, koji se krajem prošle godine ponovo pojavio nakon što je ostao bez svoje infrastrukture u januaru 2021.

Bilo je nekoliko pokušaja da se sruši TrickBotova infastruktura, ali je uvek preživeo ili bi se ponovo pojavio. Najupečatljiviji pokušaj bio je pokušaj Microsofta u oktobru 2020. kada je uklonjeno 94% komandnih i kontrolnih servera TrickBota, od čega se malver kasnije oporavio.

TrickBot je kao veoma popularan postao veoma uočljiv kada su u pitanju antivirusni proizvodi, što je izgleda značajno otežalo infekcije ovim malverom, i otežalo njegovim operaterima posao sa prodajom pristupa Windows sistemima. Pored toga, malver nije ni ažuriran na adekvatan način.

Ovo curenje je rezultat višednevnih previranja u sajber podzemlju, koje nije ostalo pošteđeno podela zbog rusko-ukrajinskog sukoba koji je podelio zajednicu. Dok su u prošlosti ruski i ukrajinski hakeri radili rame uz rame, od početka invazije je ovo bratstvo pred iskušenjem, posebno zato što je već nekoliko grupa izabralo stranu u oružanom sukobu između dve zemlje. Conti je jedna od mnogih bandi koje su odlučile da stanu na stranu Rusije.

„Ako neko odluči da organizuje sajber napad ili bilo kakve ratne aktivnosti protiv Rusije, mi ćemo iskoristiti sve moguće resurse da uzvratimo kritičnoj infrastrukturi neprijatelja“, zapretila je grupa.

Pošto je objavljena ova agresivna proruska poruka jedan od članova bande se pobunio i objavio razgovore članova grupe. Administratori Contija su shvatili svoju grešku nekoliko sati kasnije i pokušali da poprave stvari i promenili svoju objavu tako da ima neutralniji ton, rekavši da se “ne udružuju ni sa jednom vladom i da osuđuju rat koji je u toku”, ali da će odgovoriti na sajber agresiju zapada na rusku infrastrukturu. Ali do tog trenutka šteta je već učinjena.

Conti je jedna od najaktivnijih ransomware grupa koja je samo prošle godine bila odgovorna za hakovanje 63 kompanije koje upravljaju industrijskim kontrolnim sistemima, većinom u sektoru proizvodnje. Grupa je takođe preuzela kontrolu nad Bazar Backdoorom, malverom koji je razvila grupa TrickBot, koji se koristi za kompromitovanje veoma vrednih ciljeva.

Izgleda da je raskol u grupi Conti i curenje podataka koje je usledilo bila lekcija za druge bande da ne prave istu grešku. Na primer, u veoma neutralnoj poruci koju je posle toga objavila grupa LockBit rečeno je da grupa neće stati ni na jednu stranu.

„Za nas je to samo biznis i svi smo apolitični. Nas zanima samo novac za naš bezopasan i koristan rad“, kaže se u poruci ove grupe.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Komercijalni špijunski softver Graphite korišćen za napade na iPhone uređaje novinara u Evropi

Komercijalni špijunski softver Graphite korišćen za napade na iPhone uređaje novinara u Evropi

Forenzička istraga Citizen Lab-a otkrila je da je Paragonov softver za špijunažu Graphite korišćen u napadima bez klika koji su ciljali Apple iOS... Dalje

Kako Microsoft 365 Copilot hakerima može otkriti vaše tajne podatke

Kako Microsoft 365 Copilot hakerima može otkriti vaše tajne podatke

Firma za sajber bezbednost Aim Labs otkrila je ozbiljan bezbednosni problem, nazvan EchoLeak, koji pogađa Microsoft 365 (M365) Copilot. Ova greška j... Dalje

Evropol upozorava da potražnja kriminalaca za ukradenim podacima „vrtoglavo raste“

Evropol upozorava da potražnja kriminalaca za ukradenim podacima „vrtoglavo raste“

Evropol upozorava da porast potražnje za ukradenim podacima na hakerskim forumima podstiče ekonomiju sajber kriminala izgrađenu na prevarama, ranso... Dalje

Kako sajber kriminalci zloupotrebljavaju ChatGPT u prevarama

Kako sajber kriminalci zloupotrebljavaju ChatGPT u prevarama

OpenAI je otkrio da se aktivno bori protiv široko rasprostranjene zloupotrebe svojih AI alata od strane kriminalnih grupa iz zemalja poput Kine, Rusi... Dalje

Otkriven opasni malver u varalicama za igre

Otkriven opasni malver u varalicama za igre

Unit 42 Palo Alto Networks-a upozorava na Windows malver koji se distribuira putem paketa za varanje u igrama. Reč je o malver Blitz koji je prvi put... Dalje