Jedna z nejúspěšnějších ransomware skupin zaznamenala masivní únik interních dat poté, co se v ukrajinském konfliktu postavila na stranu Ruska.
Ransomware skupina Conti
Únik dat z kyberzločinecké skupiny Conti, o níž se předpokládá, že sídlí v Rusku, zahrnoval podrobnosti o útočné infrastruktuře, BTC adresy a také interní konflikty a obvinění v podobě záznamů chatu a interních výčitek.
“Našel jsem více než 150 BTC peněženek, s tím se dá udělat celá řada analýz,”
– řekl analytik zpravodajských služeb společnosti Recorded Future Allan Liska. Zdůraznil, že pochopení back-endové infrastruktury by mohlo změnit pravidla hry, což umožní “vládám nebo společnostem zabývajícím se kybernetickou bezpečností začít šťourat, aby našly slabá místa”. Ačkoli interní struktury mohou být stále pozměněny, “nyní víme, jak vypadá back-endová struktura, a víme, co skenovat, na co se zaměřit, když ji přesouvají,” dodal.
Alex Holden ze společnosti Hold Security se podrobněji věnoval tomu, co únik odhalil.
“Vidíme finanční operace, vidíme jejich aspirace, například mluví o budování vlastní kryptoměny, vidíme, jak mezi sebou bojují. Jeden z nich nedávno zašifroval nemocnici plnou pacientů s mozkovou obrnou a vidíme, jak se snaží tohoto člověka vyhodit za to, že porušil jejich kód.”
Přebírání stran
Conti byl v loňském roce jednou z nejúspěšnějších ransomware skupin, která od obětí vylákala v kryptoměnách přes 180 milionů dolarů. Její úspěch byl založen na obchodním modelu ransomware jako služba (RaaS), kdy poskytuje partnerům malware k využití výměnou za procenta z výkupného, které se šíří mezi další skupiny ransomwaru. Nicméně “většina ruskojazyčných undergroundových fór nepovoluje diskuse týkající se politických témat,” uvedl Oleg Bondarenko, vedoucí ředitel výzkumného týmu společnosti Mandiant Inc.
Proto Conti minulý týden mnohé překvapil tím, že se pevně postavil do řady s ruským prezidentem Vladimirem Putinem a prohlásil, že použije “všechny možné prostředky k odvetnému úderu na kritické infrastruktury nepřítele”. Později vydala mírnější prohlášení, v němž tvrdila, že se nepřidává na stranu žádné vlády, ale že se zaměří na “západní válečné štváče”.
Přesto jako globální decentralizovaná operace počítá mezi své členy mnoho národností, včetně Ukrajinců.
“Ransomware je globální operace. Můžete mít sídlo v Rusku, ale musíte brát v úvahu všechny pobočky, které jsou nyní rozesety po celém světě a které s největší pravděpodobností Rusku nefandí.”
– řekl Allan Liska.
Zatímco totožnost únikáře je stále nejasná, Alex Holden se domnívá, že by mohlo jít o ukrajinského výzkumníka v oblasti kybernetické bezpečnosti.
Závěr
Válka je na více frontách a ta kybernetická je jednou částí. Data a informace jsou cennými nástroji. Kdo myslíte, že na tom bude lépe? Anonymous nebo skupiny, které se přidaly na stranu Ruska. Pro více informací se přidejte také na náš oficiální discord server KRYPTOMAGAZIN CZ.
