BreachQuest گزارش های چت داخلی گروه باج افزار Pro-Russia را منتشر می کند

اسناد داخلی که اخیراً توسط یکی از اعضای گروه باج افزار Conti فاش شده است، وضعیت این باند را به عنوان یک سازمان تجاری چند لایه نشان می دهد.

محققان BreachQuest، یک شرکت امنیت سایبری و پاسخ به حوادث مستقر در دالاس، روز چهارشنبه تجزیه و تحلیل خود را از گزارش‌های چت منتشر کردند که یکی از اعضای ناراضی گروه ابتدا در کانال‌های خصوصی و سپس در توییتر چندین هفته پیش منتشر کرد. این افشاگری ها به دنبال یک پیام تهاجمی طرفدار روسیه در وب سایت این گروه محبوب باج افزار بود.

به گفته مارکو فیگوئروا، محصول اصلی BreachQuest و محقق سابق تهدیدات در SentinelOne، هدف این انتشار کمک به سازمان‌ها برای درک عملکرد درونی زیرساخت‌های سازمانی Conti است.

این گزارش‌های چت بینش عمیقی در مورد ارقام درآمد باج‌افزار، رهبران، شیوه‌های استخدام، عملیات و قربانیان ارائه می‌دهند.

یکی از شگفت‌انگیزترین اکتشافات این است که رهبر این گروه سرمایه‌گذاری هنگفتی روی بیت‌کوین می‌کند و شبکه بلاک چین خود را برای حمایت از گروه Conti ایجاد می‌کند. فیگوئروآ تأیید کرد که کلید دیگری که از مکالمات چت فاش شد این است که تقریباً همه اعضای گروه در روسیه زندگی می کنند.

او به TechNewsWorld گفت: “این دستگاهی است که به خوبی روغن کاری شده است و مدتی است که در کار بوده است. آنها در ماه سپتامبر 50 میلیون دلار به دست آوردند.”

نمای کلی گزارش های چت

گروه Conte قبلاً اعلام کرده بود که کمپین‌های حملات سایبری را در حمایت از تهاجم روسیه به اوکراین انجام خواهد داد.

بر اساس گزارش BreachQuest، جامعه infosec پس از آن شروع به انتشار اطلاعات درز ارائه شده توسط یک محقق امنیتی اوکراینی کرد که جزئیات چندین سال گزارش چت داخلی را نشان می داد که عملیات کونتی را فاش می کرد.

سوابق فاش شده نشان می دهد که Conti حملات را به شرکت ها یا اهداف بزرگ محدود نمی کند. آنها همچنین دنبال مشاغل کوچک می روند.

فیگوروآ گفت که یکی از اهداف اصلی کونته، به حداکثر رساندن همکاری قربانیان در پرداخت هزینه رمزگشایی داده های آنها از طریق مذاکرات قیمت است. این استراتژی شامل مجموعه ای از داده های به تدریج بزرگتر است تا زمانی که قربانیان با پرداخت موافقت کنند. تا زمانی که این کار انجام نشود، هر نسخه جدید اطلاعات هک شده دارای قیمت بالاتری است.

او گفت: «یکی از چیزهایی که وبلاگ نشان می دهد این است که آنها می خواهند به کار خود احترام بگذارند.

در وبلاگ BreachQuest در محتوای لاگ گنجانده نشد، زیرا بحثی در مورد اینکه چگونه یکی از شرکت های قربانی ممکن است در ازای پرداخت درخواست خصوصی داشته باشد وجود داشت. به گفته فیگوروآ، این شرکت می‌خواست تمام فایل‌های خود را دانلود کند و سپس کپی‌های Conte را حذف کند.

گزارش‌های چت، بحث‌های پشت سر هم و موافقت کونته را برای رعایت این موضوع نشان می‌دهد که نشانه‌ای از اعتماد قربانیان به وعده‌های کونته است.

به خوبی سازماندهی شده است

کنته در یک سلسله مراتب کارآمد سازماندهی شده بود که کارگران خود را در گروه های ماهر جدا می کرد. رهبران اصلی با اسامی و عناوین نامشخص مشخص می شوند.

کار کارکنان جدید مبهم باقی می ماند تا از درک بیش از حد آنها در مورد سازمان جلوگیری شود. گزارش BreachQuest خاطرنشان می کند که این ممکن است یک عامل کمک کننده به گردش مالی بالای سازمان و همچنین ماهیت مجرمانه کسب و کار باشد.

کونته تیم ها را با رهبر تیم به گروه هایی تقسیم می کند. چندین رهبر ممکن است در گروه های بزرگ برای حفظ تکالیف کاری و آموزش کار کنند.

کارگران صراحتاً ملزم به «گوش دادن، انجام دادن، یادگیری، پرسیدن سؤالات، پیروی از راهنماها و دستورالعمل‌ها و تکمیل وظایف محوله هستند».

افشای اطلاعات کونته و جنگ جاری در اوکراین ممکن است رهبران کونته را وادار کند تا تلاش‌های جذب نیرو را افزایش دهند. کاهش ارزش روبل و تحریم های بین المللی علیه روسیه، روس ها را به سمت بیت کوین سوق داده است. بنابراین، طبق سوابق فاش شده، کونته طبق درخواست کارگران، از طریق بیت کوین پرداخت می کند.

فرآیند استخدام

Conti با استفاده از چندین استراتژی کارگران را استخدام می کند. روش اولیه توصیه هایی از کارگران مورد اعتماد موجود است. روش دیگر از خدمات استخدام برای یافتن نامزدهایی با مجموعه مهارت های مورد نیاز استفاده می کند.

یکی از این خدمات یک وب‌سایت مستقر در روسیه است که به بخش منابع انسانی Conti اجازه می‌دهد تا به پایگاه داده CV نامزدهای بالقوه واجد شرایط دسترسی داشته باشد. چت تجزیه و تحلیل شده بین کارمندان Conti شامل تغییرات قابل توجه قیمت از طریق وب سایت تخفیف Conti است.

انجام مصاحبه در کونته مشکل ساز است. مصاحبه شوندگان در اتاق گفتگو منتظر هستند و به سوالات از طریق تبادل چت به جای ویدئو پاسخ داده می شود، زیرا ویدئو ممکن است امنیت عملیاتی اعضای آن را به خطر بیندازد. بسیاری از داوطلبان قبل از شروع مصاحبه اتاق های گفتگو را ترک می کنند.

داوطلبانی که در مصاحبه قبول می شوند، در مورد شرایط حقوق و نقش خود در سازمان مذاکره می کنند. این کارمندان تحت “آموزش مقدماتی برای مبتدیان” قرار می گیرند.

اپراتورها

بسیاری از کارهای بک‌اند شامل استخدام استعدادها به عنوان توسعه‌دهندگان فول استک، Crypto، C++ و PHP است. آنها ابزارهای مختلفی مانند گاوصندوق، هرزنامه، ابزارهای درب پشتی و/یا پنل های مدیریت ایجاد می کنند.

از آنجایی که بسیاری از برنامه های کاربردی تحت وب به زبان PHP نوشته شده بودند، برنامه منتشر شده فاقد کد بود و کار کردن با آن تقریبا غیرممکن بود. برنامه نویسان مجبور بودند همه اینها را برطرف کنند.

مهندسان معکوس به‌روزرسانی‌های مایکروسافت را برای تغییراتی که پس از به‌روزرسانی سیستم ایجاد می‌شوند، تجزیه و تحلیل می‌کنند. آنها همچنین محصولات حفاظتی نقطه پایانی را مهندسی معکوس می کنند تا از حفاظت هایی که می توانند دستکاری یا به هر طریقی موفقیت آنها را مختل کنند دور بزنند.

تیم‌های خصوصی با جمع‌آوری اطلاعات از منابع آنلاین در دسترس عموم با استفاده از فناوری‌های مختلف، اهداف را جستجو می‌کنند. مدیران به مدیریت شبکه‌های سازمان‌های آسیب‌دیده و جمع‌آوری اطلاعات قربانیان که برای کسب‌وکارشان حیاتی است کمک می‌کنند تا حداکثر میزان پرداخت را استخراج کنند.

با ارزیابی و تأیید اینکه ابزارهای Conti کارهایی را که قرار است در محیط‌های خاص انجام دهند انجام می‌دهند، به آزمایش‌کنندگان کمک می‌کند. گزارش‌های چت آزمایش امضای روزانه Windows Defender را برای اطمینان از شناسایی نشدن ابزارهای Conti نشان می‌دهند.

کونته از فرآیندهای ثابت شده خاصی پیروی می کند تا جای پای خود را در یک شبکه به خطر بیاندازد. گروه هکرها به دنبال افراد بالقوه جالبی مانند سرپرست، مهندس یا فردی در زمینه فناوری اطلاعات هستند.

اهداف اصلی پشتیبان گیری

تیم های باج افزار به دنبال سرورهای پشتیبان برای رمزگذاری داده های شرکت قربانی هستند. محققان همچنین از تکنیک‌هایی برای دور زدن فروشندگان ذخیره‌سازی پشتیبان استفاده می‌کنند تا اطمینان حاصل کنند که پشتیبان‌ها رمزگذاری شده‌اند.

سوابق فاش شده نشان می دهد که Conti به دنبال اسناد مالی، پرونده های حسابداری، مشتریان، پروژه ها و موارد دیگر است. این استراتژی کارگران Conte را تشویق می کند تا بفهمند که موفقیت آنها به دستیابی به اطلاعات مفید سازمان هدف برای متقاعد کردن قربانیان به پرداخت بستگی دارد.

فیگوروآ خاطرنشان کرد که تکیه بر فایل‌های پشتیبان در فضای ابری یا جاهای دیگر، شرکت یا سازمان مورد نظر را از هک در امان نخواهد داشت.

فیگوئروا گفت: “آنها به دنبال نسخه های پشتیبان شما می روند. آنها هیچ کاری انجام نمی دهند (برای اطلاع از یک سازش موفق به شرکت) تا زمانی که بدانند شما را به گوشه ای رساندند که نمی توانید از آن خارج شوید.”

گزارش های چت فاش شده و تجزیه و تحلیل کامل در وب سایت BreachQuest موجود است.