Vài ngày sau khi nhóm ransomware Conti công khai một thông điệp ủng hộ Nga và cam kết trung thành với hành động của Vladimir Putin đối với Ukraine, một nhà nghiên cứu bảo mật ẩn danh sử dụng tên người dùng trên Twitter là @ContiLeaks đã làm rò rỉ các cuộc trò chuyện nội bộ của tổ chức này.
Tệp kết xuất, được xuất bản bởi nhóm nghiên cứu phần mềm độc hại VX-Underground, được cho là chứa 13 tháng nhật ký trò chuyện giữa các thành viên và quản trị viên của nhóm ransomware trực thuộc Nga từ tháng 6/2020 đến tháng 2/2022, trong một động thái dự kiến cung cấp thông tin chi tiết chưa từng có về hoạt động nội bộ của tập đoàn tội phạm.
Trong thông báo, người tiết lộ nói: “Vinh quang cho Ukraine.”
Các cuộc trò chuyện được chia sẻ cho thấy Conti đã sử dụng các công ty giả mạo để nỗ lực lên lịch demo sản phẩm với các công ty bảo mật như CarbonBlack và Sophos để lấy chứng chỉ ký mã (code signing certificate), cùng với đó là việc chạy nước rút để hoàn thành nhiệm vụ phát triển phần mềm.
Ngoài ra, các thông báo cũng xác nhận việc đóng cửa mạng botnet TrickBot hồi tuần trước cũng như nhấn mạnh mối quan hệ chặt chẽ của nhóm Conti với các băng nhóm phần mềm độc hại TrickBot và Emotet, trong đó nhóm Emotet đã hồi sinh vào cuối năm ngoái thông qua TrickBot.
Một trong những thành viên của nhóm gửi tin nhắn vào ngày 14/2/2022 với nội dung: “TrickBot không hoạt động. Dự án đã bị đóng cửa.”
Ngoài ra, kẻ tiết lộ cũng được cho là đã phát hành mã nguồn liên kết với các mô-đun điều phối lệnh và thu thập dữ liệu của TrickBot, chưa kể đến tài liệu nội bộ của nhóm ransomware, bảng điều khiển quản trị và kho lưu trữ được bảo vệ bằng mật khẩu chứa mã nguồn cho trình khóa, bộ giải mã và trình tạo.
Sự kiện này diễn ra khi xung đột Nga-Ukraine đã chia rẽ tội phạm mạng thành hai phe chiến tranh, với ngày càng nhiều kẻ tấn công chọn phe giữa hai quốc gia trên mặt trận kỹ thuật số.
Nhóm Conti bày tỏ sự “ủng hộ hết mình” đối với cuộc xâm lược của Nga và đe dọa sẽ trả đũa các cơ sở hạ tầng quan trọng nếu Nga bị tấn công mạng hoặc quân sự trong một bài blog đăng tải trên cổng thông tin web đen hồi tuần trước.
Tuy nhiên, sau đó nhóm này đã rút lại ý kiến, nói rằng, “chúng tôi không liên minh với bất kỳ chính phủ nào và chúng tôi lên án cuộc chiến đang diễn ra”, nhưng nhắc lại rằng “Chúng tôi sẽ sử dụng các nguồn lực của mình để đáp trả nếu hạnh phúc và sự an toàn của các công dân hòa bình bị đe dọa do hành động xâm lược mạng của Mỹ. “
Câu chuyện ContiLeaks là một phần trong nỗ lực lớn hơn của các phần tử tin tặc và các đồng minh an ninh, bao gồm cả “đội quân CNTT” của Ukraine, nhằm tấn công các địa điểm, dịch vụ và cơ sở hạ tầng của Nga nhằm chống lại các cuộc tấn công quân sự của Điện Kremlin. Trong các bài chia sẻ trên kênh Telegram, nhóm tin tặc tình nguyện tuyên bố rằng một số trang web và cổng thông tin trực tuyến của nhà nước Nga đã bị phá hủy bởi một loạt các cuộc tấn công DDoS.
Ngoài ra, một nhóm tin tặc Belarus được gọi là Đảng Cộng hòa Mạng tuyên bố họ đã tổ chức một cuộc tấn công vào mạng lưới tàu hỏa của nước này với nỗ lực làm gián đoạn hoạt động chuyển quân của Nga vào Ukraine, trong khi một nhóm khác có tên là AgainstTheWest_ nói rằng họ “đứng lên chống lại Nga” và họ đã tấn công một số trang web và tập đoàn.
Về phần mình, Anonymous cũng lên tiếng nhận trách nhiệm về việc làm gián đoạn các trang web của các hãng thông tấn nhà nước RT, TASS và RIA Novosti, cũng như các trang web của các tờ báo Kommersant, Izvestiya, tạp chí Forbes Nga và tập đoàn dầu mỏ khổng lồ Gazprom của Nga.
Trái lại, cuộc chiến tranh mạng đang phát triển nhanh chóng dường như đã đặt các nhóm khác vào tình trạng báo động, điều gì xảy ra với việc các nhà khai thác ransomware LockBit đăng một thông điệp trung lập, nói rằng “Đối với chúng tôi, đó chỉ là công việc và tất cả chúng tôi đều nói không với chính trị. Chúng tôi chỉ quan tâm đến tiền vì công việc ý nghĩa và vô hại của chúng tôi. “
Matt Olney, giám đốc tình báo và can thiệp của Cisco Talos, cho biết chuỗi “các cuộc tấn công có nguồn gốc từ đám đông” do các nhóm tin tặc nổi loạn trong bối cảnh khủng hoảng Nga – Ukraine leo thang“.
Olney nói thêm: “Bảy ngày qua đã tạo ra một môi trường tự do cho các tổ chức chính phủ, những người làm nghề tự do có liên quan và các tác nhân tấn công mạng bán hợp pháp và các băng nhóm đều xuất phát từ sự căm phẫn chủ nghĩa dân tộc chính nghĩa. Các chính phủ đang tìm kiếm tình nguyện viên để tiến hành các cuộc tấn công mạng chống lại phe đối lập. Điều này gây ra một nguy cơ rất lớn trên toàn cầu vì khả năng lan tràn sự thù địch này là rất lớn.”