Банда програм-вимагачів виманила 725 BTC за ONE атаку, знайшли детективи мережі

Винос

• Об’єднавши журнали чату, витоку в лютому, з подальшим аналізом даних блокчейну, дослідники отримали нові відомості про сумнозвісну банду програм-вимагачів Conti.
• Згідно з оглядом CoinDesk витоку чатів, банда використовувала позабіржових (OTC) брокерів у Росії, щоб перевести в готівку Крипто , яку вимагали від жертв, і заплатити членам за їхню роботу.
• Принаймні ONE американська лікарня, атакована програмою-вимагачем Conti під час пандемії коронавірусу, заплатила викуп, свідчать внутрішні повідомлення хакерів.
• Відповідно до аналізу Crystal Blockchain, опублікованого у вівторок, виплати викупу банді могли досягати 725 BTC і більше.
• Нові гаманці, які використовував Конті, були знайдені, сказала Крістал.

У лютому хакер злив журнали чату сумнозвісної банди програм-вимагачів, пропонуючи RARE можливість зазирнути в повсякденні операції цього кримінального бізнесу та життєво важливу роль криптовалюти в ньому. Але дані блокчейна допомагають намалювати більш повну картину.

Витік повідомлень показав, що хакери Conti мали більше жертв, ніж повідомлялося раніше. Вони також показали, що деякі з цих організацій заплатили, щоб повернути свої ІТ-системи, і що банда мала зв’язки з іншим сумнозвісним кіберзлочинним кільцем, відомим як Ryuk. Можливо, найголовніше те, що кеш-пам’ять виявила раніше невідомі адреси гаманців Conti у Bitcoin (BTC).

Це стало відправною точкою для ланцюгових детективів, щоб заповнити більше частин головоломки. Наприклад, дані блокчейну показують, що принаймні ONE з американських лікарень, атакованих під час пандемії, могла заплатити викуп хакерам Conti.

CoinDesk переглянув витік повідомлень учасників Conti та проаналізував Крипто гаманці та транзакції хакерів за допомогою аналітичної фірми Crystal Blockchain. Ця вправа підкреслила постійний парадокс Крипто: у той час як незахищена мережа з неблокованими транзакціями дуже корисна для злочинців, публічна книга залишає крихти, які правоохоронні органи та дослідники можуть знайти пізніше.

Хакерів зламують

Угруповання програм-вимагачів — це загроза, породжена епохою кібернетики. Хоча спустошення, яке вони поширюють у корпораціях, іноді є видимим і відчутним (згадайте дефіцит GAS , спровокований Напад колоніального трубопроводу минулого року?), їхні особи та те, як вони діють, залишаються здебільшого прихованими.

Зараз завіса трохи розсунулася через непрямий наслідок війни в Україні.

25 лютого група Конті оголосила про свою вірність російському уряду після вторгнення в Україну. На своєму офіційному веб-сайті Конті погрожував вжити заходів у відповідь Заходу у відповідь на можливі кібератаки проти Росії. Схоже, це кібербряцання зброєю спровокувало витоки, які з’явилися в кількох місцях.

А Український дослідник безпеки Як повідомляє CNN, хто отримав доступ до ІТ-інфраструктури групи, передав журналістам і дослідникам безпеки повідомлення, накопичені на внутрішньому сервері Jabber/XMPP групи з 2020 по 2021 рік. Інші повідомлення ЗМІ запропоновано витік зробив незадоволений український член банди Конті. Заархівовані повідомлення були опубліковано обліковий запис Twitter, присвячений дослідженню штамів зловмисного програмного забезпечення, відомий як @vxunderground.

«Група програм-вимагачів Conti раніше опублікувала повідомлення на боці російського уряду. Сьогодні член Conti почав витік даних із повідомленням «На бік російський уряд, слава Україні!»» твітнув @vxunderground.

Здирницькі картелі

Витік повідомлень банди Конті дає певну картину того, як можуть бути пов’язані різні штами програм-вимагачів.

Згідно з повідомленнями Конті, група працювала з різними штамами програм-вимагачів і групами, які керують цими штамами: учасники згадують роботу з програмами-вимагачами Ryuk, Trikbot і Maze. Відповідно до повідомлень, учасники Conti не лише вели власний бізнес із програмами-вимагачами, а й надавали інструменти та послуги іншим хакерським групам.

Наприклад, 23 червня 2020 року лідер групи на прізвисько Стерн говорить російською менеджеру нижчого рівня, відомому як Таргет: "Рюк скоро повернеться з відпустки. Він забере всіх ботів, які у нас є. Для нього нам потрібно 5 тисяч компаній". (З попередніх і наступних повідомлень незрозуміло, які компанії мав на увазі Стерн.)

Повідомлення також залишили фінансовий слід цього партнерства: Bitcoin транзакція між бандами Конті та Рюка, згадана Crystal Blockchain у березні публікація в блозі.

У вересні 2019 року ONE із Bitcoin гаманців, пов’язаних із Conti надіслав 26,25 BTC (Вартістю близько 200 000 доларів на той час) на гаманець, пов’язаний з Ryuk, показують дані блокчейну.

«Платіжна інформація, що міститься в витоку чатів, переконливо підтверджує цей зв’язок і те, що Конті, ймовірно, намагався зв’язатися з Рюком», — сказала Крістал у дописі в блозі. «Ми також помітили, що Рюк відправляв платежі безпосередньо на гаманець Conti, який кілька разів згадувався в історії чату; це свідчить про афілійованість і певний ступінь оперативної координації між цими двома групами».

Читайте також: Відстежено схованку Bitcoin хакерів DarkSide

Раніше дослідники кібербезпеки вказав на можливий зв'язок між операторами програм-вимагачів Ryuk і Conti, оскільки шкідливі програми містили подібні фрагменти коду. Однак фінансові зв'язки між нападниками Рюк і Конті раніше T були розкриті.

Просунутий Intel Віталій Кремез сказав Bleeping Computer штам програм-вимагачів, який використовує Conti, багато разів переходив із рук у руки протягом кількох років, починаючи з Hermes у 2017 році. Потім його нібито придбали інші хакери та перетворили на Ryuk (ймовірно, названий на честь персонаж японської манги). Потім група «розпалася, змінила бренд або вирішила перейти на назву «Conti», яка, здається, базується на коді Ryuk версії 2», — написав Bleeping Computer.

Conti працювала під час пандемії коронавірусу та атакувала організації охорони здоров’я по всьому світу, більше половини яких було розташовано в США, за даними ФБР. Експерти з кібербезпеки вже давно підозрюють зв’язок Конті з російською державою разом з багатьма іншими бандами програм-вимагачів.

Рюк відомий злом Видавничі приміщення The New York Times і The Wall Street Journal у 2018 році, а також кілька інших компаній. І Рюк, і Конті використовували варіант шифрування AES-256 для шифрування файлів жертв і вимагання викупу за ключі дешифрування.

Більше жертв

Витік повідомлень також проливає світло на масштаби успішно атакованих компаній, про багато з яких раніше не повідомлялося.

Медичний центр Ріджв’ю, що базується в Міннесоті, був знаменитим напали у 2020 році, у перший рік пандемії, разом із низкою інших організацій охорони здоров’я США штамами шкідливого програмного забезпечення Ryuk і Trickbot. Ймовірно, за цими атаками також стояла група Conti: члени говорять про успішний злом мережі Ridgeview і шифрування даних, необхідних для роботи медичного центру.

За словами Крістал, а угода 30 жовтня 2020 року, швидше за все, є платіж у розмірі 301 BTC (понад 4 мільйони доларів на той час), який Ridgeview надіслав Конті як викуп.

Днем раніше, 29 жовтня, члени Conti Target і Stern зазначили, що Ridgeview готовий заплатити 2 мільйони доларів, або 151 BTC; однак передбачуваний партнер Конті, організатор атаки, «хотів отримати 300 BTC».

Пізніше, згідно з журналами чату, хакери взяли гору, і 30 жовтня 301 BTC було відправлено з адресу приписується Крипто Gemini a гаманець який, здається, опосередковано пов’язаний з іншим гаманець, яку учасники Conti згадували в чатах як платіжну адресу для вимагання, повідомляє Crystal.

Ridgeview не відповів на Request CoinDesk про коментар до часу преси.

Варто пам’ятати, що аналіз блокчейну певною мірою базується на припущеннях, і приписування адреси блокчейну певній реальній сутності майже ніколи не є 100% точним. Однак Крістал сказала, що цілком впевнена в ONE.

«Методологія, яку ми використовували, полягала в тому, щоб шукати пов’язані транзакції, які мали ту саму вартість, що й вимога викупу, і обговорювалися в групі», — сказав директор відділу розвідки блокчейнів Crystal Нік Смарт. Він додав, що Crystal на «90% впевнений», що транзакція була виплатою викупу, враховуючи її час, суму та зв’язок із гаманцями Conti, про які повідомлялося раніше.

Були й інші, ще більші виплати, які вдалося зібрати злочинній групі.

Згідно з журналами чату, найбільший викуп, який невстановлена ​​компанія-жертва заплатила Conti, становив 725 BTC, виявила Crystal. Цей шматок Bitcoin, еквівалентний приблизно 8 мільйонам доларів на той час, був виплачений чиказьким ринком зайнятості CareerBuilder, сказав Crystal, оскільки компанія згадувалася в чатах, пов’язаних з виплатою 725 BTC .

Одержувач цього платежу міг бути цей Bitcoin гаманець, — сказала Кристал CoinDesk. 10.10.2020 р. адреса отримав 725 BTC і негайно надіслав його на іншу адресу, не пов’язану з жодним Крипто , показують дані в ланцюжку. Не було жодних інших транзакцій, пов’язаних із адресою, окрім цих двох.

CareerBuilder не відповів на Request CoinDesk про коментарі.

Відповідно до витоку повідомлень, могло бути близько 30 раніше невідомих жертв Conti, включаючи Xerox (XRX), культового Maker фотокопіювальних машин, сказала Кристал. Відомо, що Xerox був зламаний бандою програм-вимагачів у 2020 році; однак експерти з кібербезпеки пов'язані злом банди Мейз.

З журналів чату незрозуміло, чи заплатив Xerox викуп. У 2020 році стався витік даних Xerox, пов’язаних зі службою підтримки клієнтів, що свідчить про те, що компанія відмовилася платити викуп і побачила витік своїх внутрішніх даних як покарання, Про це повідомляє ZDNet. Xerox відмовився коментувати цю історію.

Деякі інші атаки в той же час були безперечно успішними.

Зокрема, члени Conti обговорюють атаки на канадського виробника басейнів Softub і кілька американських компаній: транспортну компанію Piper Logistics, роздрібну мережу Sam's Furniture, Maker вуличного обладнання Clarus і касиру Loomis.

Операційний директор Softub Том Лалонд повідомив CoinDesk в електронному листі, що дані компанії зберігаються в хмарних резервних копіях, тому вона T платила викуп.

Проте атака «створила цілу купу проблем», сказав Лалонд. Він додав, що за цей час у компанії було кілька атак програм-вимагачів.

Piper Logistics, Sam’s Furniture, Clarus і Loomis не відповіли на запити про коментарі.

У повідомленнях члени Conti згадують атаку на 89 компаній, більшість із яких розташовані в США, а також низку канадських, австралійських та європейських корпорацій. Незрозуміло, скільки атак були успішними та призвели до виплат у Bitcoin , але масштаби операцій безперечно здаються величезними, сказав Крістал у публікація в блозі опубліковано у вівторок.

Члени Conti навіть згадують про плани заразити Pfizer (PFE), головного виробника фармацевтичних препаратів і співавтора вакцини проти COVID-19, але неясно, чи була проведена атака, і якщо так, то чи вона вдалася.

Кристал також це сказала розташований Група Conti використовувала кілька гаманців, про які раніше не повідомлялося, завдяки згадці цих гаманців у журналах чату: гаманець який отримав 200 BTC від невстановленої жертви 26 жовтня 2020 року; a гаманець які збирали виплати від різних атак; a гаманець члени банди, що використовуються для управління операційними витратами; та ін.

Бюджет хакера

Згідно з витоком журналів чатів, Конті мав деякі великі плани, пов’язані з Крипто та блокчейном. Наприклад, учасники виношували ідею створити власний одноранговий ринок Криптовалюта та інструмент на основі смарт-контрактів за вимагання.

Група також обговорила кампанії з дезінформації, спрямовані на демпінгування цін на менші криптовалюти, і, можливо, причетність до Шахрайство з виходом на тему Squid Game, дослідник безпеки Браян Кребс написав.

Але взаємодія групи з Крипто здебільшого була більш приземленою та ілюструє, як саме працює Крипто та як вона перетворюється на фіатні гроші в злочинному світі.

Повідомлення, що просочилися, показують повсякденні операції групи: учасники обговорюють розробку шкідливого коду, що працює, а що T, які платежі потрібно використовувати за ІТ-послуги, які використовує група, і взаємодію з іншими злочинними групами.

Відповідно до повідомлень, розглянутих CoinDesk, учасники Conti використовували Крипто, серед іншого, для оплати хмарних серверів і ліцензій на програмне забезпечення. Наприклад, в ONE повідомленні учасник на прізвисько Defender просить Стерна надіслати йому 700 доларів у Bitcoin для оплати сервера, який використовує група.

Незважаючи на те, що Крипто є основним способом оплати між членами групи, більшість віддає перевагу отримувати зарплату у фіатній формі. Для цього учасники Conti використовували позабіржового (OTC) брокера, який є популярним методом у Росії та Україні, де історично мало глобальних централізованих бірж.

У повідомленні новому учаснику в липні 2020 року Стерн пояснює, як отримувати щомісячну зарплату: новобранець повинен знайти відділ OTC із вигідною ціною на російськомовному агрегаторі OTC Bestchange.com, створити замовлення на продаж Bitcoin для переказу дебетовою карткою та надати Стерну адресу депозиту, яку генеруватиме OTC.

Таким чином, «працівник» отримував би гроші у фіатній формі безпосередньо на свою дебетову картку, тоді як бос витрачав би Крипто, по суті використовуючи OTC як платіжний процесор.

Позабіржові торгові центри також є основним каналом виведення викупу, свідчать журнали чату. В ONE діалозі учасник на ім’я Реверс пояснює, як виманена Крипто продається через позабіржових брокерів: під час переказу Bitcoin Конті надсилає грошові мули, або так звані дропи, щоб зібрати готівку, щоб фактичні власники незаконно отриманих Bitcoin залишалися інкогніто.

«За 300 тисяч доларів ніхто б не поїхав Для вас шукати в Росію», — додає Реверс.

Для оплати ІТ-продуктів і використання серверів також часто потрібна фінансова ліквідність, і саме тут крипто-злочинці можуть зіткнутися з певними перешкодами під час оплати рахунків. У чаті між двома учасниками, Стріксом і Картером, Стрікс запитує, як Картер платить за сервери через PayPal (PYPL), оскільки позабіржові брокери мають справу лише з більшими сумами, ніж 7 євро на місяць, необхідні Стріксу для використання його персонального сервера.

Картер пояснює, що спочатку він продає Крипто на одноранговому ринку LocalBitcoins за банківський переказ на свою дебетову картку, а картку прив’язано до облікового запису PayPal. Картка, додає він, «фантомна», тобто T належить йому – нібито використовується грошовий мул.

Обліковий запис PayPal підтверджено, каже Картер, піднімаючи питання, чи обліковий запис PayPal, який він використовує, також належить грошовому мулу, чи його підтверджено за допомогою викрадених або підроблених документів, що ID – злочинної служби, доступної та процвітаючої в темній мережі, як Розслідування CoinDesk раніше показали.

Читайте також: За 200 доларів ви можете торгувати Крипто за допомогою підробленого ID

За словами Крістал, окрім безіменного OTC, Conti також використовував деякі відомі сервіси для переведення грошей за викуп. Адреси, пов’язані з Conti, надсилали Bitcoin на: російський позабіржовий ринок, який зараз перебуває під санкціями Suex; в Гідра даркнет ринок; біржа RenBTC; та адреси, пов’язані з Wasabi, гаманцем без опіки, який дозволяє користувачам приховувати походження своїх коштів, об’єднуючи їх із Bitcoin інших людей у ​​т.зв. CoinJoin операції.