Den ryska hackargruppen Conti deklarerade nyligen att de tänkte försvara ryska intressen och försvara ryska webbplatser om de attackerades. Kort efter det uttalandet så läckte stora mängder information ut om gruppen, dokument, filer och inte mints flera år chattloggar där gruppens interna kommunikation avslöjades. Loggarna visar också att amerikanska NSA kan ha slagit till mot Contis interna datorsystem och slagit ut det.
Genomgången av den enorma mängden intern kommunikation avslöjar inte bara hur de här kriminella grupperna organiserar sin ”verksamhet” utan även hur de arbetar, vilka verktyg som används, samarbetspartners och hur de försöka undgå upptäckt.
Conti är en av de större grupperingarna och det finns beräkningar som säger att Conti omsätter runt 100 miljoner dollar årligen. Det är främst pengar som samlas in efter utpressning riktad mot företag, organisationer och enskilda (ransomware).
Den 27 februari så publicerades ett kort meddelande på Twitter på ett nystartat konto:
https://twitter.com/ContiLeaks/status/1498030708736073734?s=20&t=gRjB3FaBYk-el4v17XqSdA
Innehållet skulle visa sig vara sensationellt – flera års kommunikation mellan olika medlemmar i gruppen, främst chat-meddelanden som samlats in och som lagrats. Nu publicerades allt material på nätet och filerna har snabbt samlats in av nätets alla säkerhetsforskare för vidare analys. Det har trotts, och sagts, att den som läckt informationen är en före detta medlem av gruppen men de uppgifterna tillbakavisas av Alex Holden, grundare av säkerhetsföretaget Holden Securities. Alex Holden är född i Ukraina och har mycket goda kontakter i landet. Informationen istället ska ha samlats in och publicerats av en säkerhetsforskare, i Ukraina, som valt att stanna kvar och arbeta i landet.
Glapp
En första genomgång av filerna visar att det finns glapp i kommunikationen. Perioder då det ser ut som att gruppen varit inaktiv och de perioderna stämmer väl överens med de perioder då gruppens olika verktyg och system oskadliggjorts tillfälligt. Det handlar då om internetleverantörer som kastat ut gruppens system och om åtgärder från teknikföretag som lyckats att slå ut och stänga end Contis olika system. Det är system som Conti använder i attackerna på företag, myndigheter, sjukhus och enskilda.
Krebs On Security har tidigare avslöjat att den amerikanska underrättelseorganisationen NSA sannolikt infiltrerat Contis system och stängt ned det. Den nu publicerade informationen ger ytterligare stöd för tidigare uppgifter. I den interna kommunikationen så skriver medlemmar i gruppen att deras system attackerats, infiltrerats och stängts ned. NSA ska även ha slagit ut den speciella återställningsfunktion som systemet ska ha innehållet. En funktion som Conti har kunnat använda i den händelse att systemen snabbt måste tas ned, rensas och sedan startas upp igen.
”Efter ett tag kommer de att ladda ner en ny konfiguration via emercoin, men de kommer inte att kunna tillämpa den här konfigurationen, eftersom den här sabotören har laddat upp konfigurationen med det maximala [version]-numret, och boten kontrollerar att den nya konfigurationen [versionen] antal] borde vara större än den gamla”, skrev Hof. ”Förlåt, men det här är jävligt. Jag vet inte hur jag ska få tillbaka dem.”
Det skriver en av de ledande medlemmarna inom Conti kort efter det att gruppens hela bärande infrastruktur stängts ned. Det tog Conti flera veckor att få igång sina attackverktyg igen.
0 kommentarer