Vazamentos da Conti revelam os hyperlinks do grupo de ransomware para a Rússia

Durante anos, a Rússia grupos de crimes cibernéticos agiram com relativa impunidade. O Kremlin e as autoridades locais em grande parte fez vista grossa a ataques de ransomware disruptivos, desde que não tinha como alvo empresas russas. Apesar da pressão direta sobre Vladimir Putin para enfrentar grupos de ransomware, eles ainda estão intimamente ligados aos interesses da Rússia. Um vazamento recente de um dos grupos mais notórios fornece um vislumbre da natureza desses laços – e quão tênues eles podem ser.

Um cache de 60.000 mensagens e arquivos de bate-papo vazados do notório grupo de ransomware Conti fornece vislumbres de como a gangue criminosa está bem conectada na Rússia. Os documentos, revisados ​​pela WIRED e publicados pela primeira vez online no ultimate de fevereiro por um pesquisador de segurança cibernética ucraniano anônimo que se infiltrou no grupo, mostram como a Conti opera diariamente e seus ambições de criptografia. Eles provavelmente revelam ainda mais como os membros da Conti têm conexões com o Serviço de Segurança Federal (FSB) e uma consciência aguda das operações de Hackers militares apoiados pelo governo da Rússia.

Enquanto o mundo lutava para lidar com o surto da pandemia de Covid-19 e as primeiras ondas em julho de 2020, os cibercriminosos de todo o mundo voltaram sua atenção para a crise da saúde. Em 16 de julho daquele ano, os governos do Reino Unido, EUA e Canadá chamou publicamente os hackers militares apoiados pelo Estado da Rússia por tentar roubar propriedade intelectual relacionada às primeiras vacinas candidatas. O grupo de hackers Urso Aconchegantetambém conhecido como Complex Power Risk 29 (APT29), estava atacando empresas farmacêuticas e universidades usando malware alterado e vulnerabilidades conhecidas, disseram os três governos.

Dias depois, os líderes da Conti falaram sobre o trabalho da Comfortable Endure e fizeram referência aos ataques de ransomware. Stern, a figura do CEO de Conti, e Professor, outro membro sênior da gangue, falaram sobre a criação de um escritório específico para “tópicos governamentais”. Os detalhes foram relatado pela primeira vez pela WIRED em fevereiro mas também estão incluídos nos vazamentos mais amplos do Conti. Na mesma conversa, Stern disse que tinha alguém “externamente” que pagou o grupo (embora não seja declarado para quê) e discutiu assumir os alvos da fonte. “Eles querem muito sobre o Covid no momento”, disse o professor a Stern. “Os ursos aconchegantes já estão descendo a lista.”

“Eles fazem referência à criação de algum projeto de longo prazo e aparentemente descartam essa ideia de que [the external party] ajudaria no futuro”, diz Kimberly Goody, diretora de análise de crimes cibernéticos da empresa de segurança Mandiant. “Acreditamos que é uma referência a se ações de aplicação da lei fossem tomadas contra eles, que essa parte externa possa ajudá-los com isso.” Goody ressalta que o grupo também menciona a Avenida Liteyny em São Petersburgo – o lar de escritórios locais da FSB.

Embora as evidências dos laços diretos de Conti com o governo russo permaneçam indescritíveis, as atividades da gangue continuam a se alinhar com os interesses nacionais. “A impressão dos bate-papos vazados é que os líderes da Conti entenderam que podiam operar desde que seguissem as diretrizes tácitas do governo russo”, diz Allan Liska, analista da empresa de segurança Recorded Long term. “Parece ter havido pelo menos algumas linhas de comunicação entre o governo russo e a liderança de Conti.”

Em abril de 2021, Mango, um dos principais gestores da Conti que ajuda a organizar o grupo, perguntou ao Professor: “Trabalhamos com política?” Quando o professor pediu mais informações, Mango compartilhou mensagens de bate-papo que tinham com uma pessoa usando o identificador JohnyBoy77 – todos os membros da gangue usam apelidos para ajudar a esconder suas identidades. A dupla estava discutindo pessoas que “trabalham contra a Federação Russa” e a possível interceptação de informações sobre eles. JohnyBoy77 perguntou se os membros do Conti poderiam acessar dados de alguém ligado ao Bellingcat, os jornalistas investigativos de código aberto que expuseram hackers russos e redes secretas de assassinos.

Em specific, JohnyBoy77 queria informações ligadas à investigação de Bellingcat sobre o envenenamento do líder da oposição russa Alexei Navalny. Eles perguntaram sobre os arquivos do Bellingcat sobre Navalny, fizeram referência ao acesso a senhas de um membro do Bellingcat e mencionaram o FSB. Em resposta às conversas do Conti, o diretor executivo da Bellingcat, Christo Grozevm, tuitou que o grupo já havia recebido uma dica de que o FSB estava conversando com um grupo de crimes cibernéticos sobre hackear seus contribuidores. “Quero dizer, somos patriotas ou o quê?” Mango perguntou ao Professor sobre os arquivos. “Claro que somos patriotas”, responderam.

O patriotismo russo é constante em todo o grupo Conti, que tem muitos de seus membros sediados no país. No entanto, o grupo é internacional no seu âmbito, tem membros na Ucrânia e na Bielorrússia e tem hyperlinks para membros mais distantes. Nem todos do grupo concordam com a invasão da Ucrânia pela Rússia, e os membros têm discutiu a guerra. “Com a globalização desses grupos de ransomware, só porque a liderança da Conti se alinhou bem com a política russa não significa que os afiliados sentiram o mesmo”, diz Liska. Em uma série de conversas que remontam a agosto de 2021, Spoon e Mango conversaram sobre suas experiências na Crimeia. A Rússia invadiu a Crimeia e anexou a região da Ucrânia em 2014, um movimento que os líderes ocidentais dizem ter deveria ter feito mais para parar. A área generation linda, eles disseram, mas Colher não a visitava há 10 anos. “Vou ter que ir ver isso no ano que vem”, disse Spoon. “Criméia russa”.