• Sat. Jul 2nd, 2022

CNTech News

Senaste tekniska nyheter och uppdateringar

En ransomware-grupp betalade priset för att stödja Ryssland

Mar 1, 2022

När Rysslands invasion av Ukraina går in på sin femte dag, har en koalition ledd av USA och Europa startat ett samordnat svar fokuserat på ekonomiska sanktioner och i allt högre grad militärt bistånd. Medan konflikten växer i omfattning och intensitet, dras organisationer långt utanför militär- och regeringsapparaten in – inklusive ransomware-grupper som är aktiva i Ryssland och Ukraina.

Den gravitationskraften är särskilt ansträngd i Ryssland, där gränserna mellan hackare och de ryska underrättelsetjänsterna ibland är porösa, och en grupp i synnerhet har fått betala för sin lojalitet till Putinregimen.

På fredagen överraskade det ökända ransomware-gänget Conti många observatörer genom att uttryckligen satsa på Putins militära agenda, deklarerade “fullständigt stöd” för den ryska regeringen och hotade att attackera kritisk infrastruktur av alla motståndare som lanserar cyberattacker mot Ryssland

Två dagar senare, den 27 februari, kom Contis ställningstagande att slå tillbaka spektakulärt när en anonym person läckte en cache med chattloggar från organisationen och avslöjade en enorm mängd tidigare opublicerad information om ransomware-gruppens interna funktion.

Den läckta informationen innehåller över ett års chattloggar från öppen källkodstjänsten Jabber, innehållande meddelanden mellan minst 20 chatthandtag som antas tillhöra medlemmar i gänget. Dessa loggar verkar bland annat bekräfta en kommandokedja som länkar Conti till ryska underrättelsetjänster. Enligt Christo Grozev, verkställande direktör för öppen källkodsforskningsgruppen Bellingcat, visar chattloggarna att medlemmar av Conti försökte hacka en Bellingcat-bidragsgivare på order av Rysslands viktigaste inre säkerhetstjänst, FSB.

Ryssland har tidigare kritiserats mycket för att hysa cyberkriminella grupper, och med vissa undantag – särskilt det offentliga nedläggningen av REvil-hackergruppen av FSB i januari – tillåts de i stort sett verka ostraffat förutsatt att de avstår från att attackera inhemska mål. Men även om närheten till den ryska regeringen har varit en fördel för cyberbrottslingar tidigare, finns det vissa tecken på att dynamiken i Ukraina-invasionen förvandlar den till en skuld.

Även om identiteten på läckaren inte har avslöjats, sa Alex Holden, den ukrainskfödde grundaren av cybersäkerhetsföretaget Hold Security, att loggarna hade läckts ut av en ukrainsk säkerhetsforskare som hade lyckats infiltrera Conti-gänget.

“Det här är en ukrainsk medborgare, en legitim cybersäkerhetsforskare, som gör detta som en del av sitt krig mot cyberkriminella som stöder den ryska invasionen,” sa Holden. Ytterligare detaljer om läckarens identitet kunde inte avslöjas utan att riskera hans säkerhet, sa Holden.

The Record rapporterar också att chattloggarna innehåller Bitcoin-adresser där betalningar som gjorts till Conti-gänget togs emot, och meddelanden som beskriver förhandlingar mellan Conti och företag som inte hade avslöjat en ransomware-incident.

Bill Demirkapi, en säkerhetsforskare som publicerade en version av loggarna översatta till engelska via Google, bekräftade för The Verge att loggarna innehöll detaljer om Contis tekniska infrastruktur, logistiska operationer, diskussioner om nolldagssårbarheter och detaljer om interna verktyg. Med tanke på den korta tidslinjen sedan loggarna släpptes, sa Demirkapi, var det svårt att bedöma den långsiktiga inverkan det skulle ha på gruppen.

Även om många av de mest produktiva ransomware-grupperna anses vara i linje med Ryssland, är många av dem i praktiken transnationella enheter och inkluderar en mångfald av etniciteter och nationaliteter, säger Chester Wisniewski, ledande forskare vid Sophos. Med den internationella opinionen som överväldigande gynnar Ukraina, kan många av dem ha beslutat sig för att undvika konflikten snarare än att deklarera stöd för den ryska invasionen.

“Den här konfliktens polariserande karaktär – som faktiskt verkar vara hela världen kontra Ryssland – betyder att det finns mycket mindre [cyberkriminell] aktivitet än vi förväntat oss”, sa Wisniewski. “Jag tror att det finns en hel del sympati för Ukraina bland medlemmar i dessa olika grupper, och som ett resultat av detta håller de ut det.”

LockBit, en annan ransomware-grupp och faktiskt en konkurrent till Conti, släppte ett uttalande på söndagen där de sa att gruppen inte skulle rikta in sig på västerländsk infrastruktur, förmodligen på grund av organisationens internationella sammansättning. Istället för att bekänna något stöd för Ukraina, förklarade uttalandet neutralitet i konflikten.

“För oss är det bara affärer och vi är alla opolitiska”, sade LockBit i meddelandet.

Även om ransomware-gäng (med undantag för Conti) har varit ovilliga att välja sida, har vissa hacktivistgrupper – som per definition är politiska – rusat för att ansluta sig till saken. En hacktivistgrupp som opererar från Vitryssland har påstått sig störa militära enheters rörelse genom att stänga ner järnvägar i landet, efter att den vitryska regeringen inlett missilangrepp mot Ukraina och gått med på att stödja Ryssland genom att skicka trupper över den ukrainska gränsen.

Separat förklarade ett Twitter-konto kopplat till Anonymous att hackningskollektivet “officiellt var i cyberkrig mot den ryska regeringen”, och gruppen tog på sig ansvaret för ett antal DDoS-attacker och andra hackningar mot ryska myndigheters webbplatser och mediekanaler.

Även om andra grupper med kränkande hackningsförmåga kan frestas att ansluta sig till konflikten, har cybersäkerhetsproffs varnat för eskalering. Oavsett avsikt kan cyberattacker få oförutsedda konsekvenser, särskilt om mål är knutna till infrastruktur eller andra kritiska tjänster med tillämpningar utanför militären.

“Jag är orolig för andra skador från de “bra killarna”, vigilanterna,” sa Wisniewski. “Att uppmuntra människor att attackera [cybermål], det är för mig en mycket farlig situation … det är inte bara en oskyldig aktivitet när du inte känner till biverkningarna.”