隨著俄羅斯-烏克蘭之間的戰(zhàn)爭持續(xù)升級，網(wǎng)絡(luò)戰(zhàn)爭也成為雙方發(fā)力的焦點(diǎn)，越來越多的黑客開始站隊(duì)，并對對方的支持者發(fā)出相應(yīng)的禁令和威脅。

例如2月25日，Conti 勒索組織就發(fā)出警告稱，他們將利用所有資源“反擊敵人的關(guān)鍵基礎(chǔ)設(shè)施”來應(yīng)對針對俄羅斯的網(wǎng)絡(luò)攻擊活動(dòng)。

大約一個(gè)小時(shí)之后，Conti 勒索組織就改變了他們的警告，稱自己“不與任何政府結(jié)盟，我們譴責(zé)正在進(jìn)行的戰(zhàn)爭”，但將回應(yīng)西方對俄羅斯關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊。

就在Conti 勒索組織選擇支持俄羅斯之后，一名烏克蘭籍的成員泄露了6萬多條Conti 勒索組織內(nèi)部聊天的消息。該成員可以訪問Conti勒索組織XMPP聊天服務(wù)器的“ejabberd 數(shù)據(jù)庫”后端，網(wǎng)絡(luò)安全公司Hold Security也確認(rèn)了這一點(diǎn)。

過去一直在追蹤C(jī)onti/TrickBot操作的AdvIntel首席執(zhí)行官Vitali Kremez證實(shí)了這一消息的正確性，確認(rèn)泄露的內(nèi)部聊天記錄真實(shí)有效，并表示這些消息是從勒索組織成員使用的Jabber通信系統(tǒng)的日志服務(wù)器中獲取的。

消息內(nèi)容包括從2021年1月21日至今的所有聊天記錄，總共393個(gè)JSON文件，其中包含了60694 條消息。這些聊天記錄包含有關(guān)該團(tuán)伙活動(dòng)的各種信息，涉及以前未報(bào)告的受害者、私人數(shù)據(jù)泄露 URL、比特幣地址以及有關(guān)其操作的討論。

例如，下面的對話是Conti成員想知道媒體如何得知他們在 12 月對 Shutterfly 的攻擊。

Kremez 還分享了他發(fā)現(xiàn)的一段對話片段，討論了TrickBot 操作是如何被關(guān)閉的。

還有關(guān)于 Conti/TrickBot 的 Diavol 勒索軟件操作和包含1300萬美元付款的 239 個(gè)比特幣地址的對話，這些地址被添加到Ransomwhere 網(wǎng)站。

這些聊天記錄的公布對于Conti勒索組織來說是一個(gè)嚴(yán)重的打擊，也為安全人員和執(zhí)法部門提供了有關(guān)其內(nèi)部流程的敏感情報(bào)。雖然目前還只能看到一小部分記錄，但是在未來幾周內(nèi)有望獲得更多的信息。

俄羅斯入侵烏克蘭導(dǎo)致黑客、勒索軟件團(tuán)伙和安全研究人員在沖突中選邊站隊(duì)。雖然一些勒索軟件團(tuán)伙站在俄羅斯一邊，但其他勒索軟件團(tuán)伙，如 LockBit，則保持中立。

當(dāng)然，烏克蘭也沒有束手待斃，而是要求志愿研究人員和黑客加入他們的“IT軍隊(duì)”，對俄羅斯目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊，許多人都響應(yīng)號召。

而Conti勒索組織雖然被泄露了大量的內(nèi)部聊天記錄，但是很難就此一蹶不振，直至消失。相反，近段時(shí)間他們又接管了隱秘的 BazarBackdoor 惡意軟件，逐漸成長為一個(gè)真正了網(wǎng)絡(luò)犯罪集團(tuán)，依舊會(huì)給全世界帶來嚴(yán)重的網(wǎng)絡(luò)攻擊威脅，值得我們警惕。

參考來源：

https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/