Dagen nadat de Conti-ransomwaregroep een pro-Russisch bericht had uitgezonden waarin zij trouw zwoer aan de voortdurende invasie van Oekraïne door Vladimir Poetin, heeft een ontevreden lid van het kartel de interne chats van het syndicaat gelekt.
De bestandsdump, gepubliceerd door de malware-onderzoeksgroep VX Underground, zou van januari 13 tot februari 2021 2022 maanden aan chatlogs bevatten tussen filialen en beheerders van de aan Rusland gelieerde ransomware-groep, in een beweging die naar verwachting zal bieden zonder precedent inzicht in de gang van zaken.
"Glorie aan Oekraïne", zei de leaker in hun bericht.
Uit de gelekte gesprekken blijkt dat Conti valse dekmantelbedrijven gebruikte om productdemo's in te plannen met beveiligingsbedrijven zoals CarbonBlack en Sophos om certificaten voor codeondertekening te verkrijgen, waarbij de operators in scrumsprints werkten om de softwareontwikkelingstaken te voltooien.
Bovendien zijn de berichten bevestigen de afsluiten van het TrickBot-botnet vorige week, evenals de nauwe relatie van de Conti-groep met de TrickBot- en Emotet-malwarebendes, waarvan de laatste eind vorig jaar via TrickBot nieuw leven werd ingeblazen.
Een bericht verzonden door een van de leden van de groep op 14 februari 2022 luidt: "TrickBot werkt niet. Het project is afgesloten.”
Bovendien wordt aangenomen dat de leaker de broncode heeft vrijgegeven die is gekoppeld aan de commando-dispatcher en datacollector-modules van TrickBot, om nog maar te zwijgen van de interne documentatie van de ransomware-groep.
De ontwikkeling komt als de Russisch-Oekraïens conflict heeft versplinterd de cybercriminaliteit ondergronds in twee strijdende facties, met een groeiend aantal hacking-actoren partij kiezen tussen de twee landen op het digitale front.
Het Conti-team betuigde vorige week in een blogpost op zijn dark web-portal zijn "volledige steun" aan de Russische invasie en dreigde wraak te nemen op kritieke infrastructuur als Rusland wordt getroffen door cyber- of militaire aanvallen.
Later kwam het echter terug en zei: "we sluiten geen bondgenootschap met enige regering en we veroordelen de aanhoudende oorlog", maar herhaalde dat "we onze middelen zullen gebruiken om terug te slaan als het welzijn en de veiligheid van vreedzame burgers zal worden op het spel staat vanwege Amerikaanse cyberagressie.”
De ContiLeaks saga maakt deel uit van een bredere inspanning van hacktivisten en veiligheidsbondgenoten, waaronder het Oekraïense 'IT-leger', om Russische sites, diensten en infrastructuur aan te vallen als tegenwicht voor de militaire aanvallen van het Kremlin. De vrijwillige hackgroep beweerde in berichten die op zijn Telegram-kanaal werden gedeeld dat verschillende Russische websites en online portals van de staat zijn geveld door een spervuur van DDoS-aanvallen.
Afzonderlijk, een groep Wit-Russische hackers die bekend staat als de Cyber Partizanen bepaald ze voerden een aanval uit op het treinnetwerk van het land in een poging de Russische troepenbewegingen naar Oekraïne te verstoren, terwijl een andere groep belde TegenHet Westen_ zei dat het "tegen Rusland was" en dat het een aantal websites en bedrijven had geschonden.
The Anonymous, van zijn kant, ook beweerde verantwoordelijkheid voor het verstoren van de websites van de staatspersbureaus RT, TASS en RIA Novosti, evenals websites van de kranten Kommersant, Izvestiya, en Forbes Russia magazine en de Russische oliegigant Gazprom.
De snel evoluerende cyberoorlog lijkt in ieder geval andere groepen alert te hebben gemaakt, wat met LockBit ransomware-operators plaatsing een neutrale boodschap, waarin staat: “Voor ons is het gewoon zaken en we zijn allemaal apolitiek. We zijn alleen geïnteresseerd in geld voor ons onschuldige en nuttige werk.”
