Seorang peneliti keamanan Ukraina telah membocorkan lebih dari 60.000 pesan internal milik operasi ransomware Conti setelah geng tersebut memihak Rusia atas invasi ke Ukraina.
CEO AdvIntel Vitali Kremez, yang telah melacak operasi Conti/TrickBot selama beberapa tahun terakhir, juga mengkonfirmasi kepada bahwa pesan yang bocor itu valid dan diambil dari server log untuk sistem komunikasi Jabber yang digunakan oleh geng ransomware.
Kremez mengatakan bahwa data tersebut dibocorkan oleh seorang peneliti yang memiliki akses ke backend “database ejabberd” untuk server obrolan XMPP Conti. Ini juga dikonfirmasi oleh perusahaan keamanan siber Hold Security.
Total ada 393 file JSON bocor yang berisi total 60.694 pesan sejak 21 Januari 2021 hingga hari ini.
Percakapan ini berisi berbagai informasi tentang aktivitas geng, termasuk korban yang sebelumnya tidak dilaporkan, URL kebocoran data pribadi, alamat bitcoin, dan diskusi tentang operasi mereka.
Misalnya, percakapan di bawah ini adalah anggota Conti bertanya-tanya bagaimana BleepingComputer mengetahui serangan mereka terhadap Shutterfly pada bulan Desember.
Kremez juga membagikan cuplikan percakapan yang dia temukan membahas bagaimana operasi TrickBot ditutup.
Ada juga percakapan tentang operasi ransomware Diavol Conti/TrickBot dan 239 alamat bitcoin yang berisi pembayaran $13 juta, yang ditambahkan ke situs Ransomwhere.
Kebocoran pesan-pesan ini merupakan pukulan telak bagi operasi ransomware, yang memberikan intelijen sensitif kepada para peneliti dan penegak hukum tentang proses internal mereka.
Awal pekan ini, operasi ransomware Conti menerbitkan sebuah posting blog yang mengumumkan dukungan penuh mereka untuk serangan pemerintah Rusia di Ukraina. Mereka juga memperingatkan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, geng Conti akan menyerang kembali infrastruktur penting.
Setelah afiliasi Conti Ukraina menjadi marah karena berpihak pada Rusia, geng Conti mengganti pesan mereka dengan yang lain, menyatakan bahwa mereka “tidak bersekutu dengan pemerintah mana pun” dan bahwa mereka “mengutuk perang yang sedang berlangsung.”
Namun, perubahan hati mereka datang terlambat, dan seorang peneliti keamanan Ukraina yang dilaporkan memiliki akses ke server XMPP backend Conti mengirim email ke BleepingComputer dan jurnalis lain malam ini dengan tautan ke data yang bocor.
Di sisi lain, Ukraina telah meminta peneliti sukarelawan dan peretas untuk bergabung dengan “Tentara TI” mereka untuk melakukan serangan siber terhadap target Rusia, dengan banyak yang mendukung seruan tersebut.
Adapun Conti, meskipun kebocoran ini memalukan dan memberikan wawasan luas tentang operasi mereka, kami tidak akan melihat mereka pergi dalam waktu dekat. Dengan mereka baru-baru ini mengambil alih malware BazarBackdoor yang tersembunyi dan menjadi sindikat kejahatan yang sebenarnya, sayangnya, mereka akan terus menjadi ancaman.
