Peneliti, yang memiliki akses ke sistem Conti, merilis data setelah geng ransomware terkenal menyatakan dukungan untuk Rusia sejak invasi ke Ukraina, kata Alex Holden, CTO Hold Security, sebuah konsultan yang mempelajari ransomware dan kejahatan dunia maya. Nama peneliti keamanan tidak dapat dirilis.
Data, yang dalam format JSON, termasuk log obrolan Jabber, alamat bitcoin, dan negosiasi antara korban ransomware dan penyerang Conti. Sebagian besar data adalah obrolan internal antara anggota dan afiliasi Conti, termasuk detail pribadi, konflik, dan tuduhan. Ada juga log yang terkait dengan TrickBot, botnet yang kadang-kadang digunakan untuk mendistribusikan Conti, kata Holden. Data tersebut mencakup periode dari Januari 2021 hingga awal bulan ini (lihat: Gerakan Kejahatan Dunia Maya: Conti Ransomware Menyerap TrickBot Malware).
Data Conti “harus dibaca oleh semua profesional keamanan karena memberikan Anda wawasan tentang cara kerja ransomware sebenarnya,” kata Holden. VX-Underground, sekelompok peneliti malware, juga telah memeriksa data dan membagikannya secara publik.
Ada sekitar 150 alamat bitcoin, pegangan obrolan, alamat IP, panel kontrol, dan data infrastruktur lainnya yang akan sangat berguna untuk melacak geng serta afiliasi yang menggunakan malware-nya, kata Liska. Conti adalah apa yang disebut grup ransomware-as-a-service. Afiliasi mendaftar untuk mendistribusikan ransomware, dan keuntungan dari serangan yang berhasil dibagikan.
“Banyak grup ransomware tidak memiliki opsec [keamanan operasional] sebaik yang mereka kira,” kata Liska. “Ini pasti cara untuk belajar dan memahami bagaimana mereka beroperasi dan apa yang mereka lakukan.”
Conti adalah salah satu jenis ransomware yang paling umum. Ini dikembangkan oleh kelompok kejahatan dunia maya Rusia yang sudah lama berjalan yang dikenal sebagai Wizard Spider, menurut CrowdStrike. Kelompok ini diyakini bertanggung jawab atas malware/kode botnet TrickBot serta ransomware jenis Ryuk dan BazarLoader.
Conti agresif dan memusuhi korbannya. Jika korban menolak untuk membayar uang tebusan, perlahan-lahan data sensitif mereka bocor di situs webnya. Itu berarti bahwa meskipun suatu organisasi memiliki cadangan yang baik dan rencana pemulihan bencana, mereka masih menghadapi kesulitan dari data yang bocor.
Meneriakkan dukungan untuk Rusia di tengah kecaman global atas serangan negara itu terhadap Ukraina adalah langkah yang berisiko. Pada hari Jumat, geng Conti menerbitkan posting singkat di situs web yang digunakannya untuk membocorkan data organisasi yang telah dikompromikan.
Ia menulis bahwa mereka sepenuhnya mendukung pemerintah Rusia dan bahwa jika ada yang mengorganisir serangan siber terhadap Rusia, ia akan menggunakan semua sumber dayanya untuk menyerang balik “infrastruktur penting musuh.”
Pada hari Senin, posting itu tampaknya telah dihapus. Posting lain yang pada dasarnya mengungkapkan sentimen yang sama telah diterbitkan tetapi dengan tambahan baru yang mencoba meredam posisinya: “Kami tidak bersekutu dengan pemerintah mana pun dan kami mengutuk perang yang sedang berlangsung.”
Risiko terbesar yang datang dari kebocoran ini adalah bahwa afiliasi dan penjahat dunia maya lainnya mungkin tidak ingin bekerja dengan geng yang infrastrukturnya telah disusupi oleh peneliti keamanan dunia maya.
Kebocoran akan menyulitkan Conti untuk melanjutkan, kata Brett Callow, analis ancaman di Emsisoft, sebuah perusahaan keamanan yang berkantor pusat di Selandia Baru yang membantu organisasi pulih dari ransomware.
Sumber : Data Breach Today
