Días después de que el grupo de ransomware Conti transmitiera un mensaje pro-ruso en el que prometía su lealtad a la invasión de Ucrania en curso por parte de Vladimir Putin, un miembro descontento del cartel filtró los chats internos del sindicato.
El volcado de archivos, publicado por el grupo de investigación de malware VX-Undergroundse dice que contiene 13 meses de registros de chat entre afiliados y administradores del grupo de ransomware afiliado a Rusia desde enero de 2021 hasta febrero de 2022, en un movimiento que se espera que ofrezca sin precedentes visión en el funcionamiento de la pandilla.
«Gloria a Ucrania», dijo el filtrador en su mensaje.
Las conversaciones filtradas muestran que Conti usó compañías de fachada falsas para intentar programar demostraciones de productos con firmas de seguridad como CarbonBlack y Sophos para obtener certificados de firma de código, con los operadores trabajando en sprints de scrum para completar las tareas de desarrollo de software.
Además, los mensajes confirmar el cierre de la botnet TrickBot la semana pasada, así como destacar la estrecha relación del grupo Conti con las pandillas de malware TrickBot y Emotet, la última de las cuales resucitó a fines del año pasado a través de TrickBot.
Un mensaje enviado por uno de los miembros del grupo el 14 de febrero de 2022 dice: «TrickBot no funciona. El proyecto fue cerrado».
Además de eso, también se cree que el filtrador ha publicado el código fuente asociado con el despachador de comandos y los módulos de recolección de datos de TrickBot, sin mencionar la documentación interna del grupo de ransomware.
El desarrollo viene como el Conflicto ruso-ucraniano ha dividido el cibercrimen clandestino en dos facciones enfrentadas, con una número creciente de actores de piratería elegir bandos entre los dos países en el frente digital.
El equipo de Conti, en una publicación de blog en su portal web oscuro la semana pasada, prometió su «pleno apoyo» a la invasión rusa y amenazó con tomar represalias contra la infraestructura crítica si Rusia es atacada con ataques cibernéticos o militares.
Sin embargo, más tarde se retractó y dijo: «No nos aliamos con ningún gobierno y condenamos la guerra en curso», pero reiteró que «Usaremos nuestros recursos para contraatacar si se garantiza el bienestar y la seguridad de los ciudadanos pacíficos». en juego debido a la agresión cibernética estadounidense».
los ContiLeaks La saga es parte de un esfuerzo más amplio de los hacktivistas y aliados de seguridad, incluido el «ejército de TI» de Ucrania, para atacar los sitios, servicios e infraestructura rusos como contraataque a los ataques militares del Kremlin. El grupo de piratas informáticos voluntarios, en mensajes compartidos en su canal de Telegram, afirmó que varios sitios web rusos y portales en línea estatales han sido derribados por un aluvión de ataques DDoS.
Por separado, un grupo de piratas informáticos bielorrusos conocidos como Cyber Partisans fijado organizaron un ataque en la red de trenes del país en un esfuerzo por interrumpir los movimientos de tropas rusas hacia Ucrania, mientras que otro grupo llamó ContraElOeste_ dijo que estaba «contra Rusia» y que violó varios sitios web y corporaciones.
The Anonymous, por su parte, también se atribuyó la responsabilidad por interrumpir los sitios web de las agencias de noticias estatales RT, TASS y RIA Novosti, así como los sitios web de los periódicos Kommersant, Izvestiya y la revista Forbes Russia y el gigante petrolero ruso Gazprom.
En todo caso, la guerra cibernética en rápida evolución parece haber puesto en alerta a otros grupos, con los operadores de ransomware LockBit. destino un mensaje neutral que dice «Para nosotros es solo un negocio y todos somos apolíticos. Solo nos interesa el dinero para nuestro trabajo inofensivo y útil».