Vài ngày sau khi nhóm ransomware Conti phát đi thông điệp thân Nga cam kết trung thành với cuộc xâm lược liên tục của Vladimir Putin vào Ukraine, một thành viên bất mãn của nhóm này đã làm rò rỉ các cuộc trò chuyện nội bộ của nhóm.
Tệp kết xuất tệp, được xuất bản bởi nhóm nghiên cứu phần mềm độc hại VX-Underground, được cho là chứa 13 tháng nhật ký trò chuyện giữa các chi nhánh và quản trị viên của nhóm ransomware trực thuộc Nga từ tháng 1 năm 2021 đến tháng 2 năm 2022, trong một động thái dự kiến cung cấp thông tin chi tiết chưa từng có về hoạt động của băng đảng.
“Vinh quang cho Ukraine,” người rò rỉ nói trong thông điệp của họ.
Các cuộc trò chuyện bị rò rỉ cho thấy Conti đã sử dụng các công ty bình phong giả để cố gắng lên lịch trình diễn sản phẩm với các công ty bảo mật như CarbonBlack và Sophos để lấy chứng chỉ ký mã, với các nhà điều hành làm việc trong các cuộc chạy nước rút để hoàn thành nhiệm vụ phát triển phần mềm.
Ngoài ra, các tin nhắn xác nhận việc đóng cửa mạng botnet TrickBot vào tuần trước cũng như nhấn mạnh mối quan hệ chặt chẽ của nhóm Conti với các băng nhóm phần mềm độc hại TrickBot và Emotet, nhóm này đã hồi sinh vào cuối năm ngoái thông qua TrickBot.
Một trong những thành viên của nhóm gửi tin nhắn vào ngày 14 tháng 2 năm 2022: “TrickBot không hoạt động. Dự án đã bị đóng.”
Trên hết, kẻ rò rỉ cũng được cho là đã phát hành mã nguồn liên quan đến bộ điều phối lệnh và mô-đun thu thập dữ liệu của TrickBot, chưa kể đến tài liệu nội bộ của nhóm ransomware.
Sự phát triển diễn ra khi cuộc xung đột Nga-Ukraine đã chia rẽ tội phạm mạng thành hai phe chiến tranh, với số lượng ngày càng tăng của các tác nhân hack chọn phe giữa hai quốc gia trên mặt trận kỹ thuật số.
Nhóm Conti, trong một bài đăng trên blog trên cổng thông tin điện tử tối tuần trước, bày tỏ sự “ủng hộ hết mình” đối với cuộc xâm lược của Nga và đe dọa sẽ trả đũa các cơ sở hạ tầng quan trọng nếu Nga bị tấn công mạng hoặc quân sự.
Tuy nhiên, nó sau đó đã bị lùi lại, nói rằng, “chúng tôi không liên minh với bất kỳ chính phủ nào và chúng tôi lên án cuộc chiến đang diễn ra”, nhưng nhắc lại rằng “Chúng tôi sẽ sử dụng các nguồn lực của mình để đáp trả nếu hạnh phúc và sự an toàn của các công dân hòa bình được đang bị đe dọa do hành động xâm lược mạng của Mỹ. “
Câu chuyện ContiLeaks là một phần trong nỗ lực rộng lớn hơn của các phần tử tin tặc và các đồng minh an ninh, bao gồm cả “đội quân CNTT” của Ukraine, nhằm tấn công các địa điểm, dịch vụ và cơ sở hạ tầng của Nga nhằm chống lại các cuộc tấn công quân sự của Điện Kremlin. Nhóm hack tình nguyện, trong các thông báo được chia sẻ trên kênh Telegram của họ, tuyên bố rằng một số trang web và cổng thông tin trực tuyến của nhà nước Nga đã bị phá hủy bởi một loạt các cuộc tấn công DDoS.
Riêng biệt, một nhóm tin tặc Belarus được biết đến với tên gọi Đảng Cộng hòa Mạng tuyên bố họ đã tổ chức một cuộc tấn công vào mạng lưới tàu hỏa của nước này với nỗ lực làm gián đoạn hoạt động chuyển quân của Nga vào Ukraine, trong khi một nhóm khác có tên là AgainstTheWest_ nói rằng họ “đứng chống lại Nga” và nó đã vi phạm một số trang web và tập đoàn.
Về phần mình, Anonymous cũng lên tiếng nhận trách nhiệm về việc làm gián đoạn các trang web của các hãng thông tấn nhà nước RT, TASS và RIA Novosti, cũng như các trang web của các tờ báo Kommersant, Izvestiya, tạp chí Forbes Nga và tập đoàn dầu mỏ khổng lồ Gazprom của Nga.
Nếu bất cứ điều gì, cuộc chiến tranh mạng đang phát triển nhanh chóng dường như đã đặt các nhóm khác vào tình trạng báo động, điều gì xảy ra với việc các nhà khai thác ransomware LockBit đăng một thông điệp trung lập, nói rằng “Đối với chúng tôi, đó chỉ là công việc và tất cả chúng tôi đều phi chính trị. Chúng tôi chỉ quan tâm đến tiền vì sự vô hại của chúng tôi và công việc hữu ích. “
.
