Dados internos do grupo de ransomware Conti revelados depois de apoiar a Rússia
O grupo de ransomware Conti foi um dos que apoiou publicamente a decisão da Rússia em invadir a Ucrânia, demonstrando o seu apoio a Putin. No entanto, parece que esta medida não terá sido bem vista por todos os membros do grupo, que agora começam a tomar medidas contra o mesmo.
Ao que tudo indica, depois de o grupo ter confirmado o apoio ao governo russo, vários membros internos terão começado a divulgar informações sobre o mesmo, onde se inclui conversas realizadas internamente pelo grupo com possíveis compradores do ransomware, além de conversas entre os próprios membros do grupo.
De acordo com o investigador de segurança Vitali Kremez, que acompanha as movimentações do grupo faz alguns meses, as mensagens agora reveladas fazem parte do programa de chat Jabber, que o grupo usa para realizar as conversas de forma segura e anónima.
No total foram revelados mais de 393 ficheiros JSON contendo as conversas, com 60.694 mensagens trocadas desde 21 de Janeiro de 2021. De relembrar que o grupo Conti começou as suas operações em Julho de 2020, portanto este leak contem um vasto conjunto das conversas tidas pelo grupo.
Estas conversas incluem diversas informações adicionais sobre o grupo, que podem ser consideradas importantes para os investigadores e comunidade em geral. Entre estas inclui-se novas vitimas de ransomware que eram, até agora, desconhecidas, dados privados do grupo e dos seus compradores, carteiras de transações, entre outros detalhes importantes.
Foram ainda descobertas cerca de 239 novas carteiras de bitcoin que terão sido usadas para receber pagamentos dos ataques, e que agora podem ser monitorizadas para identificar possíveis transações que tenham sido feitas nas mesmas.
De relembrar que, no início da semana passada, o grupo tinha confirmado o seu apoio ao governo russo, tendo ainda deixado a ameaça para qualquer entidade que venha a tentar realizar ataques contra o mesmo, que iriam igualmente enfrentar o grupo.
No entanto, esta mensagem foi entretanto substituída por outra, onde o grupo afirma não ter relações com nenhuma parte governamental – possivelmente depois das pressões deixadas por parceiros e afiliados do grupo na Ucrânia – embora tenha sido demasiado tarde para prevenir as fugas de informações internas do grupo.
De notar também que vários grupos de ransomware têm vindo a tomar partido sobre o pais que apoiam sobre os confrontos.