Član zloglasne ransomware grupe Conti izdao grupu i objavio prepiske i kod malvera

Vesti, 04.03.2022, 08:00 AM

Član hakerske grupe Conti za kojeg se veruje da je poreklom Ukrajinac, okrenuo se protiv grupe i objavio sve IoC-ove (indikator kompromisa) i izvorni kod malvera TrickBot, ali i interne razgovore članova grupe kada su lideri grupe objavili preteću poruku na svom veb sajtu kojom su se svrstali na stranu Rusije. Tako je i jedan malver postao žrtva rata u Ukrajini.

Poruke koje su procurile otkrile su odnos grupe Conti sa grupama TrickBot i Emotet, od kojih je grupa Conti iznajmljivala pristup zaraženim računarima da bi instalirala svoj ransomware. Poruke sadrže detalje o pregovorima o otkupnini i isplate kompanija koje nisu otkrile da su hakovane. Takođe, poruke otkrivaju i Bitcoin adrese na koje su žrtve uplaćivale otkupninu. Poruke su potvrdile da je serverska infrastruktura TrickBota ugašena posle mesec dana neaktivnosti. Odbegli član grupe je rekao da je ovo što je objavio samo prvi deo veće kolekcije fajlova grupe Conti koje planira da objavi u budućnosti.

Ovo izdaja će dati istraživačima širom sveta uvid u delovanje ovih grupa i mogućnost da završe sa Trickbotom.

TrickBot je nastao 2016. godine, kao bankarski trojanac, da bi vremenom evoluirao u vrlo otporan i sofisticiran botnet koji se ne koristi samo za krađu bankarskih akreditiva i fišing, već se rentira drugim sajber kriminalcima koji ga koriste za isporuku svojih malvera žrtvama, uključujući i ransomware. Najnovija verzija TrickBota širi Emotet, još jednan dobro poznati trojanac, koji se krajem prošle godine ponovo pojavio nakon što je ostao bez svoje infrastrukture u januaru 2021.

Bilo je nekoliko pokušaja da se sruši TrickBotova infastruktura, ali je uvek preživeo ili bi se ponovo pojavio. Najupečatljiviji pokušaj bio je pokušaj Microsofta u oktobru 2020. kada je uklonjeno 94% komandnih i kontrolnih servera TrickBota, od čega se malver kasnije oporavio.

TrickBot je kao veoma popularan postao veoma uočljiv kada su u pitanju antivirusni proizvodi, što je izgleda značajno otežalo infekcije ovim malverom, i otežalo njegovim operaterima posao sa prodajom pristupa Windows sistemima. Pored toga, malver nije ni ažuriran na adekvatan način.

Ovo curenje je rezultat višednevnih previranja u sajber podzemlju, koje nije ostalo pošteđeno podela zbog rusko-ukrajinskog sukoba koji je podelio zajednicu. Dok su u prošlosti ruski i ukrajinski hakeri radili rame uz rame, od početka invazije je ovo bratstvo pred iskušenjem, posebno zato što je već nekoliko grupa izabralo stranu u oružanom sukobu između dve zemlje. Conti je jedna od mnogih bandi koje su odlučile da stanu na stranu Rusije.

„Ako neko odluči da organizuje sajber napad ili bilo kakve ratne aktivnosti protiv Rusije, mi ćemo iskoristiti sve moguće resurse da uzvratimo kritičnoj infrastrukturi neprijatelja“, zapretila je grupa.

Pošto je objavljena ova agresivna proruska poruka jedan od članova bande se pobunio i objavio razgovore članova grupe. Administratori Contija su shvatili svoju grešku nekoliko sati kasnije i pokušali da poprave stvari i promenili svoju objavu tako da ima neutralniji ton, rekavši da se “ne udružuju ni sa jednom vladom i da osuđuju rat koji je u toku”, ali da će odgovoriti na sajber agresiju zapada na rusku infrastrukturu. Ali do tog trenutka šteta je već učinjena.

Conti je jedna od najaktivnijih ransomware grupa koja je samo prošle godine bila odgovorna za hakovanje 63 kompanije koje upravljaju industrijskim kontrolnim sistemima, većinom u sektoru proizvodnje. Grupa je takođe preuzela kontrolu nad Bazar Backdoorom, malverom koji je razvila grupa TrickBot, koji se koristi za kompromitovanje veoma vrednih ciljeva.

Izgleda da je raskol u grupi Conti i curenje podataka koje je usledilo bila lekcija za druge bande da ne prave istu grešku. Na primer, u veoma neutralnoj poruci koju je posle toga objavila grupa LockBit rečeno je da grupa neće stati ni na jednu stranu.

„Za nas je to samo biznis i svi smo apolitični. Nas zanima samo novac za naš bezopasan i koristan rad“, kaže se u poruci ove grupe.