سرب باحث أمني أوكراني أكثر من 60 ألف رسالة داخلية تخص مجموعة Conti مشغل برامج الفدية ransomware بعد انحياز العصابة لروسيا Russia بشأن غزو أوكرانيا Ukraine.
أكد Vitali Kremez الرئيس التنفيذي لشركة AdvIntel، الذي كان يتتبع عملية Conti / TrickBot على مدار العامين الماضيين، أن الرسائل المسربة صحيحة وتم أخذها من خادم سجل لنظام اتصالات Jabber الذي تستخدمه عصابة برامج الفدية.
قال كريمز أن البيانات سربها باحث كان لديه وصول إلى "قاعدة بيانات ejabberd" لخادم الدردشة XMPP الخاص بشركة Conti. تم تأكيد ذلك أيضًا من قبل شركة الأمن السيبراني Hold Security.
في المجموع، هناك 393 ملفًا تم تسريبه من ملفات JSON تحتوي على إجمالي 60694 رسالة منذ 21 يناير 2021 حتى اليوم. أطلقت شركة كونتي عمليتها في يوليو 2020، لذا فبينما تحتوي على جزء كبير من محادثاتهم الداخلية، فهي ليست كلها.
أكد Vitali Kremez الرئيس التنفيذي لشركة AdvIntel، الذي كان يتتبع عملية Conti / TrickBot على مدار العامين الماضيين، أن الرسائل المسربة صحيحة وتم أخذها من خادم سجل لنظام اتصالات Jabber الذي تستخدمه عصابة برامج الفدية.
قال كريمز أن البيانات سربها باحث كان لديه وصول إلى "قاعدة بيانات ejabberd" لخادم الدردشة XMPP الخاص بشركة Conti. تم تأكيد ذلك أيضًا من قبل شركة الأمن السيبراني Hold Security.
في المجموع، هناك 393 ملفًا تم تسريبه من ملفات JSON تحتوي على إجمالي 60694 رسالة منذ 21 يناير 2021 حتى اليوم. أطلقت شركة كونتي عمليتها في يوليو 2020، لذا فبينما تحتوي على جزء كبير من محادثاتهم الداخلية، فهي ليست كلها.
على سبيل المثال المحادثة أدناه هي أن أعضاء كونتي يتساءلون كيف علمت شركة BleepingComputer بهجومهم على Shutterfly في ديسمبر.
يعد تسرب هذه الرسائل بمثابة ضربة قاسية لعملية برنامج الفدية، حيث يوفر معلومات استخباراتية حساسة للباحثين وجهات إنفاذ القانون حول عملياتهم الداخلية.
بينما المقتطفات أعلاه ليست سوى جزء صغير من المحادثات المسربة، يمكننا أن نتوقع رؤية المزيد من المعلومات المستفادة من البيانات في الأسابيع المقبلة.
تسربت الرسائل بسبب انحياز كونتي لروسيا
في وقت سابق من هذا الأسبوع، نشرت عملية Conti مشاركة مدونة تعلن دعمها الكامل لهجوم الحكومة الروسية على أوكرانيا. كما حذروا من أنه إذا قام أي شخص بتنظيم هجوم إلكتروني ضد روسيا، فإن عصابة كونتي سترد على البنية التحتية الحيوية.
يمكن قراءة السبب المشترك وراء تسريب المحادثات الخاصة أدناه:
Here is a friendly heads-up that the Conti gang has just lost all their sh*t. Please know this is true.
The link will take you to download an 1.tgz file that can be unpacked running tar -xzvf 1.tgz command in your terminal .
The contents of the first dump contain the chat communications (current, as of today and going to the past) of the Conti Ransomware gang. We promise it is very interesting.There are more dumps coming , stay tuned.
You can help the world by writing this as your top story.It is not malware or a joke.
This is being sent to many journalists and researchers.Thank you for your support
Glory to Ukraine!
أدى الغزو الروسي لأوكرانيا إلى اختيار المتسللين وعصابات برامج الفدية وباحثين أمنيين أطرافًا في الصراع..
بينما انحازت بعض عصابات برامج الفدية إلى روسيا، فإن البعض الآخر، مثل LockBit، يظل محايدًا.
من ناحية أخرى، طلبت أوكرانيا من الباحثين المتطوعين والمتسللين الانضمام إلى "جيش تكنولوجيا المعلومات" الخاص بهم للقيام بهجمات إلكترونية على أهداف روسية، مع استجماع العديد لهذه الدعوة.
بالنسبة إلى كونتي، في حين أن هذا التسريب محرج ويوفر نظرة ثاقبة لعملية التشغيل، فمن غير المحتمل أن نراهم يختفون في أي وقت قريب. مع استحواذهم مؤخرًا على برنامج BazarBackdoor الخبيث الخفي وتحولهم إلى نقابة إجرامية فعلية، سيظلون للأسف يمثلون تهديدًا.
