Nangikil ang Ransomware Gang ng 725 BTC sa ONE Pag-atake, Nakahanap ng On-Chain Sleuths

Ang Takeaway

• Sa pamamagitan ng pagsasama-sama ng mga chat log na na-leak noong Pebrero sa kasunod na pagsusuri ng blockchain data, ang mga mananaliksik ay nakakuha ng mga bagong insight tungkol sa kasumpa-sumpa na Conti ransomware gang.
• Gumamit ang gang ng mga over-the-counter (OTC) na broker sa Russia upang i-cash out ang Crypto na extort mula sa mga biktima at para bayaran ang mga miyembro para sa kanilang trabaho, ayon sa pagsusuri ng CoinDesk sa mga leaked chat.
• Hindi bababa sa ONE ospital sa US na inatake ng Conti ransomware sa panahon ng pandemya ng coronavirus ang nagbayad ng ransom, ipinapakita ng mga panloob na komunikasyon ng mga hacker.
• Ang mga pagbabayad ng ransom sa gang ay maaaring kasing taas ng 725 BTC at higit pa, ayon sa pagsusuri ng Crystal Blockchain na inilabas noong Martes.
• Nahanap na ang mga bagong wallet na ginamit ni Conti, sabi ni Crystal.

Noong Pebrero, isang hacker ang nag-leak ng mga chat log ng isang kilalang ransomware gang, na nag-aalok ng isang RARE pagsilip sa loob ng araw-araw na operasyon ng kriminal na negosyong ito at ang mahalagang papel ng cryptocurrency dito. Ngunit ang data ng blockchain ay nakakatulong na magpinta ng mas buong larawan.

Ang mga leaked na mensahe ay nagpakita na ang mga hacker ng Conti ay may mas maraming biktima kaysa sa naunang naiulat. Ibinunyag din nila na ang ilan sa mga organisasyong iyon ay nagbayad upang maibalik ang kanilang mga IT system, at ang gang ay may kaugnayan sa isa pang nakakahiyang cybercriminal ring, na kilala bilang Ryuk. Marahil ang pinakamahalaga, ang cache ay nagsiwalat ng mga dating hindi kilalang Bitcoin (BTC) na mga address ng pitaka ni Conti.

Nagsilbing jumping-off point para sa mga on-chain sleuths para punan ang mas maraming piraso ng puzzle. Halimbawa, ipinapakita ng data ng blockchain ang hindi bababa sa ONE sa mga ospital sa US na inatake sa panahon ng pandemya ay maaaring nagbayad ng ransom sa mga hacker ng Conti.

Sinuri ng CoinDesk ang mga nag-leak na mensahe ng mga miyembro ng Conti at sinuri ang mga Crypto wallet at transaksyon ng mga hacker sa tulong ng on-chain analytics firm na Crystal Blockchain. Binigyang-diin ng ehersisyo ang isang matibay na kabalintunaan ng Crypto: Bagama't lubhang kapaki-pakinabang para sa mga kriminal ang isang hindi naka-block na network na may mga hindi na-block na transaksyon, ang pampublikong ledger ay nag-iiwan ng bakas ng mga mumo para sa pagpapatupad ng batas at mga mananaliksik upang mahanap sa ibang pagkakataon.

Na-hack ang mga hacker

Ang mga ransomware gang ay isang banta na ipinanganak ng cyber age. Habang ang pagkasira na kanilang ikinakalat sa mga korporasyon ay minsan ay nakikita at nasasalat (tandaan ang kakulangan sa GAS na dulot ng Pag-atake ng Colonial Pipeline noong nakaraang taon?), ang kanilang mga pagkakakilanlan at ang paraan ng kanilang pagpapatakbo ay nananatiling halos nakatago.

Ngayon, bahagyang nahati ang kurtina bilang hindi direktang resulta ng digmaan sa Ukraine.

Noong Peb. 25, ang grupong Conti nagpahayag ng katapatan sa gobyerno ng Russia kasunod ng pagsalakay sa Ukraine. Sa opisyal na website nito, nagbanta si Conti na gaganti laban sa Kanluran bilang tugon sa mga potensyal na pag-atake sa cyber laban sa Russia. Ang cyber saber-rattling na ito ay lumilitaw na nag-udyok sa mga pagtagas, na lumitaw sa ilang mga lugar.

A Ukrainian security researcher na nakakuha ng access sa IT infrastructure ng grupo ay nag-leak ng mga mensaheng naipon sa panloob na server ng Jabber/XMPP ng gang mula 2020 hanggang 2021 sa mga mamamahayag at mga mananaliksik ng seguridad, ayon sa CNN. Iba pang mga ulat ng media iminungkahi ang pagtagas ay ginawa ng isang hindi nasisiyahang miyembro ng Ukrainian ng Conti gang. Ang naka-archive na mensahe ay inilathala ng isang Twitter account na nakatuon sa pagsasaliksik ng mga strain ng malware, na kilala bilang @vxunderground.

"Ang grupo ng Conti ransomware ay naglabas dati ng isang mensahe na pumanig sa gobyerno ng Russia. Ngayon isang miyembro ng Conti ang nagsimulang mag-leak ng data na may mensaheng 'F**k the Russian government, Glory to Ukraine!'" nagtweet @vxunderground.

Mga kartel ng pangingikil

Ang mga leaked na komunikasyon ng Conti gang ay nag-aalok ng ilang kakayahang makita kung paano maaaring maiugnay ang iba't ibang mga strain ng ransomware.

Ayon sa mga mensahe ni Conti, ang grupo ay nagtatrabaho sa iba't ibang mga strain ng ransomware at mga grupong nagpapatakbo ng mga strain na iyon: binanggit ng mga miyembro na nagtatrabaho sa Ryuk, Trikbot at Maze ransomware. Ayon sa mga mensahe, ang mga miyembro ng Conti ay hindi lamang nagpatakbo ng kanilang sariling negosyo ng ransomware ngunit nagbigay din ng mga tool at serbisyo para sa iba pang mga grupo ng hacker.

Halimbawa, noong Hunyo 23, 2020, sinabi ng pinuno ng grupo, na may palayaw na Stern, sa isang lower-level manager na kilala bilang Target, sa Russian: "Malapit nang babalik si Ryuk mula sa bakasyon. Kukunin niya ang lahat ng bot na mayroon kami. Para sa kanya, kailangan namin ng 5k kumpanya." (Hindi malinaw sa nauna at sumusunod na mga mensahe kung aling mga kumpanya ang ibig sabihin ni Stern.)

Ang mga mensahe ay nag-iwan din ng pinansiyal na bakas ng partnership na ito: isang transaksyon sa Bitcoin sa pagitan ng Conti at Ryuk gangs, na binanggit ng Crystal Blockchain noong Marso. post sa blog.

Noong Setyembre 2019, ONE sa mga Bitcoin wallet na nauugnay sa Conti nagpadala ng 26.25 BTC (nagkakahalaga ng humigit-kumulang $200,000 noong panahong iyon) sa isang wallet na nauugnay sa Ryuk, ipinapakita ng data ng blockchain.

"Ang impormasyon sa pagbabayad na nilalaman sa mga leaked chat ay lubos na sumusuporta sa koneksyon na ito at malamang na sinubukan ni Conti na makipag-ugnayan kay Ryuk," sabi ni Crystal sa isang post sa blog. "Napansin din namin na direktang nagpadala si Ryuk ng mga pagbabayad sa isang Conti wallet na ilang beses na binanggit sa history ng chat; nagmumungkahi ito ng kaakibat at ilang antas ng koordinasyon sa pagpapatakbo sa pagitan ng dalawang grupong ito."

Basahin din: Nasubaybayan ang Bitcoin Stash ng DarkSide Hackers

Mas maaga, ang mga mananaliksik sa cybersecurity itinuro ang isang posibleng koneksyon sa pagitan ng mga operator ng Ryuk at Conti ransomware dahil ang malware ay naglalaman ng mga katulad na piraso ng code. Gayunpaman, ang mga koneksyon sa pananalapi sa pagitan ng mga umaatake ng Ryuk at Conti ay T naihayag noon.

Vitali Kremez ng Advanced Intel sinabi sa Bleeping Computer ang ransomware strain na ginagamit ng Conti ay maraming beses na nagbabago ng mga kamay sa loob ng ilang taon, simula bilang Hermes noong 2017. Pagkatapos ay binili ito ng ibang mga hacker at naging Ryuk (posibleng pinangalanan sa isang Japanese manga character). Pagkatapos, ang grupo ay "naghiwa-hiwalay, muling nag-brand o nagpasya na lumipat sa 'Conti' na pangalan, na lumilitaw na batay sa code mula sa Ryuk bersyon 2," isinulat ng Bleeping Computer.

Nagpatakbo ang Conti sa panahon ng pandemya ng coronavirus at inatake ang mga organisasyon ng pangangalagang pangkalusugan sa buong mundo, higit sa kalahati nito ay matatagpuan sa U.S., ayon sa FBI. Matagal nang pinaghihinalaan ng mga eksperto sa cybersecurity ang koneksyon ni Conti sa estado ng Russia, kasama ang maraming iba pang mga ransomware gang.

Kilala si Ryuk pag-hack Ang mga pasilidad ng pag-publish ng The New York Times at The Wall Street Journal noong 2018, pati na rin ang ilang iba pang kumpanya. Parehong gumamit sina Ryuk at Conti ng variant ng AES-256 encryption para i-encrypt ang mga file ng mga biktima at mangikil ng ransom para sa mga decryption key.

Mas maraming biktima

Ang mga leaked na mensahe ay nagbibigay liwanag din sa lawak ng matagumpay na pag-atake ng mga kumpanya, na marami sa mga ito ay hindi pa naiulat.

Ang Ridgeview Medical Center na nakabase sa Minnesota ay sikat inatake sa 2020, ang unang taon ng pandemya, kasama ang iba pang mga organisasyon ng pangangalagang pangkalusugan sa U.S., ng mga strain ng malware ng Ryuk at Trickbot. Ang grupong Conti, tila, ay nasa likod din ng mga pag-atakeng iyon: Pinag-uusapan ng mga miyembro ang tungkol sa matagumpay na pag-hack sa network ng Ridgeview at pag-encrypt ng data na kailangan ng medical center para gumana.

Ayon kay Crystal, a transaksyon sa Okt. 30, 2020, ay malamang na ang 301 BTC na pagbabayad (mahigit $4 milyon noong panahong iyon) na ipinadala ng Ridgeview sa Conti bilang ransom.

Isang araw bago nito, noong Oktubre 29, binanggit ng mga miyembro ng Conti na sina Target at Stern na ang Ridgeview ay handa na magbayad ng $2 milyon, o 151 BTC; gayunpaman, ang dapat na kasosyo ni Conti, ang tagapag-ayos ng pag-atake, ay "nais ng 300 BTC."

Nang maglaon, ayon sa mga log ng chat, nanaig ang mga hacker, at noong Oktubre 30, 301 BTC ang ipinadala mula sa isang tirahan iniuugnay sa Gemini Crypto exchange sa a wallet na lumilitaw na hindi direktang nauugnay sa iba wallet, na binanggit ng mga miyembro ng Conti sa mga chat bilang address ng pagbabayad para sa pangingikil, ayon kay Crystal.

Hindi ibinalik ng Ridgeview ang Request ng CoinDesk para sa komento ayon sa oras ng press.

Ito ay nagkakahalaga ng pag-alala na ang pagsusuri ng blockchain sa isang tiyak na lawak ay batay sa mga pagpapalagay, at ang pagpapatungkol ng isang blockchain address sa isang tiyak na nilalang sa totoong buhay ay halos hindi 100% tumpak. Gayunpaman, sinabi ni Crystal na lubos itong kumpiyansa sa ONE ito.

"Ang pamamaraan na ginamit namin ay upang maghanap ng mga kaugnay na transaksyon na nasa parehong halaga ng hinihingi ng ransom at tinalakay sa grupo," sabi ng direktor ng blockchain intelligence ni Crystal, Nick Smart. Idinagdag niya na si Crystal ay may "90% na kumpiyansa" na ang transaksyon ay ang ransom payment na pinag-uusapan, dahil sa tiyempo, halaga at koneksyon nito sa naunang naiulat na mga wallet ng Conti.

May iba pa, mas malalaking bayad na nakuha ng grupong kriminal.

Ang pinakamalaking ransom na ibinayad ng hindi kilalang kumpanya ng biktima sa Conti, ayon sa mga log ng chat, ay 725 BTC, natagpuan ni Crystal. Ang bahaging iyon ng Bitcoin, katumbas ng humigit-kumulang $8 milyon noong panahong iyon, ay binayaran ng Chicago-based employment marketplace na CareerBuilder, sinabi ni Crystal, dahil binanggit ang kumpanya sa mga chat na may kaugnayan sa 725 BTC payout.

Ang tatanggap ng pagbabayad na iyon ay maaaring itong Bitcoin wallet, sinabi ni Crystal sa CoinDesk. Noong Okt. 10, 2020, ang address nakatanggap ng 725 BTC at agad itong ipinadala, sa isa pang address na hindi nauugnay sa anumang serbisyo ng Crypto , ipinapakita ng on-chain na data. Walang ibang mga transaksyong kinasasangkutan ng address, maliban sa dalawang ito.

Hindi tumugon ang CareerBuilder sa Request ng CoinDesk para sa komento.

Ayon sa mga leaked na mensahe, maaaring may humigit-kumulang 30 dati nang hindi naiulat na biktima ng Conti, kabilang ang Xerox (XRX), ang iconic Maker ng photocopier, sabi ni Crystal. Ang Xerox ay kilala na na-hack ng isang ransomware gang noong 2020; gayunpaman, ang mga eksperto sa cybersecurity naka-link ang hack sa Maze gang.

Hindi malinaw sa mga chat log kung binayaran ng Xerox ang ransom. Noong 2020, na-leak ang data na nauugnay sa suporta sa customer mula sa Xerox, na nagmumungkahi na tumanggi ang kumpanya na magbayad ng ransom at nakitang na-leak ang internal na data nito bilang isang parusa, Iniulat ng ZDNet. Tumanggi si Xerox na magkomento para sa kwentong ito.

Ang ilang iba pang mga pag-atake sa parehong oras ay tiyak na matagumpay.

Sa partikular, tinatalakay ng mga miyembro ng Conti ang mga pag-atake sa tagagawa ng Canadian pool na Softub at ilang kumpanyang nakabase sa US: kumpanya ng transportasyon na Piper Logistics, chain retailer na Sam's Furniture, Maker ng outdoor equipment na si Clarus at cash handler na si Loomis.

Sinabi ng Softub Director of Operations na si Tom Lalonde sa CoinDesk sa isang email na ang data ng kumpanya ay naka-save sa cloud-based na mga backup kaya T nito binayaran ang ransom.

Gayunpaman, ang pag-atake "ay lumikha ng isang buong grupo ng mga problema," sabi ni Lalonde. Ang kumpanya ay "may ilang pag-atake ng ransomware sa panahong iyon," idinagdag niya.

Ang Piper Logistics, Sam's Furniture, Clarus at Loomis ay hindi tumugon sa mga kahilingan para sa komento.

Sa mga mensahe, binanggit ng mga miyembro ng Conti ang pag-atake sa 89 na kumpanya, karamihan sa kanila ay nakabase sa US, kasama ang isang grupo ng mga korporasyong Canadian, Australian at European. Hindi malinaw kung ilan sa mga pag-atake ang matagumpay at humantong sa mga pagbabayad sa Bitcoin ngunit ang sukat ng mga operasyon ay tiyak na tila napakalaking, sinabi ni Crystal sa isang post sa blog inilathala noong Martes.

Binanggit pa ng mga miyembro ng Conti ang mga planong mahawahan ang Pfizer (PFE), ang pangunahing tagagawa ng mga parmasyutiko at ang co-creator ng isang bakuna para sa COVID-19, ngunit hindi malinaw kung may ginawang pag-atake at, kung gayon, kung nagtagumpay ito.

Sabi din ni Crystal matatagpuan ilang dating hindi naiulat na mga wallet na ginamit ng grupong Conti, salamat sa mga wallet na iyon na binanggit sa mga log ng chat: a wallet na nakatanggap ng 200 BTC mula sa isang hindi kilalang biktima noong Okt. 26, 2020; a wallet na nangolekta ng mga payout mula sa iba't ibang pag-atake; a wallet mga miyembro ng gang na ginagamit upang pamahalaan ang mga gastos sa pagpapatakbo; at iba pa.

Pagbabadyet ng hacker

Ayon sa mga leaked chat log, mayroon si Conti malalaking plano na may kaugnayan sa Crypto at blockchain. Halimbawa, ang mga miyembro ay naaaliw sa ideya ng paglikha ng kanilang sarili marketplace ng peer-to-peer Cryptocurrency at isang tool na nakabatay sa smart-contract para sa pangingikil.

Tinalakay din ng grupo ang mga kampanya ng disinformation upang itapon ang mga presyo para sa mas maliliit na cryptocurrencies at maaaring nasangkot sa Squid Game-themed exit scam, mananaliksik ng seguridad na si Brian Krebs nagsulat.

Ngunit ang mga pakikipag-ugnayan ng grupo sa Crypto, sa karamihan, ay naging mas pangkaraniwan at naglalarawan kung paano eksaktong gumagana ang Crypto at kung paano ito na-convert sa fiat money sa criminal underworld.

Ang mga leaked na mensahe ay nagpapakita ng pang-araw-araw na operasyon ng grupo: Tinatalakay ng mga miyembro ang pagbuo ng malisyosong code, kung ano ang gumagana at kung ano ang T, anong mga pagbabayad ang dapat bayaran para sa mga serbisyong IT na ginagamit ng grupo at pakikipag-ugnayan sa iba pang mga kriminal na grupo.

Ayon sa mga mensaheng sinuri ng CoinDesk, ang mga miyembro ng Conti ay gumamit ng Crypto, bukod sa iba pang mga bagay, upang magbayad para sa mga cloud server at mga lisensya ng software. Halimbawa, sa ONE mensahe, hinihiling ng isang miyembro na may palayaw na Defender kay Stern na magpadala sa kanya ng $700 sa Bitcoin upang bayaran ang server na ginagamit ng grupo.

Bagama't ang Crypto ay nagsisilbing pangunahing paraan ng pagbabayad sa pagitan ng mga miyembro ng grupo, karamihan ay mas gustong tumanggap ng kanilang mga suweldo sa fiat. Para diyan, gumamit ang mga miyembro ng Conti ng over-the-counter (OTC) na broker, na isang tanyag na paraan sa Russia at Ukraine, kung saan bihira ang pandaigdigang sentralisadong palitan.

Sa isang mensahe sa isang bagong miyembro noong Hulyo 2020, ipinaliwanag ni Stern kung paano makatanggap ng buwanang suweldo: Ang bagong recruit ay dapat makahanap ng isang OTC desk na may paborableng presyo sa Russian-language OTC aggregator Bestchange.com, gumawa ng isang order upang magbenta ng Bitcoin para sa isang debit card transfer at bigyan si Stern ng isang deposito address na bubuo ng OTC.

Sa ganitong paraan, ang "empleyado" ay makakatanggap ng pera sa fiat nang direkta sa kanyang debit card, habang ang boss ay gagastos ng Crypto, na mahalagang ginagamit ang OTC bilang isang processor ng pagbabayad.

Ang mga OTC din ang pangunahing channel ng mga ransom cashout, palabas sa chat logs. Sa ONE dialogue, ipinaliwanag ng isang miyembro na nagngangalang Revers kung paano ibinebenta ang extorted Crypto sa pamamagitan ng OTC brokers: Kapag naglilipat ng Bitcoin, nagpapadala si Conti ng mga money mule, o ang tinatawag na mga patak, upang mangolekta ng pera, upang ang mga aktwal na may-ari ng ill-gotten Bitcoin ay mananatiling incognito.

"Sa halagang $300K, walang pupunta sa Russia para hanapin Para sa ‘Yo," dagdag ni Revers.

Ang pagbabayad para sa mga produkto ng IT at paggamit ng server ay kadalasang nangangailangan din ng fiat liquidity, at diyan ang mga crypto-native cyber criminals ay maaaring makaharap ng ilang mga hadlang sa pagbabayad ng kanilang mga bill. Sa isang pakikipag-chat sa pagitan ng dalawang miyembro, sina Strix at Carter, tinanong ni Strix kung paano nagbabayad si Carter para sa mga server sa pamamagitan ng PayPal (PYPL), dahil ang mga OTC broker ay nakikitungo lamang sa mas malaking halaga kaysa sa 7 euro bawat buwan na kailangan ni Strix para magbayad para sa paggamit ng kanyang personal na server.

Ipinaliwanag ni Carter na una, nagbebenta siya ng Crypto sa peer-to-peer market na LocalBitcoins para sa isang bank transfer sa kanyang debit card, at ang card ay naka-link sa isang PayPal account. Ang card, idinagdag niya, ay "phantom," ibig sabihin, T ito pag-aari - kunwari, isang money mule ang ginagamit.

Ang PayPal account ay na-verify, sabi ni Carter, na nagtatanong kung ang PayPal account na ginagamit niya ay kabilang din sa isang money mule, o na-verify gamit ang ninakaw o pekeng mga dokumento ng ID - isang serbisyong kriminal na magagamit at umuunlad sa darknet, bilang isang Pagsisiyasat ng CoinDesk nagpakita kanina.

Read More: Para sa $200, Maaari Mong I-trade ang Crypto Gamit ang isang Pekeng ID

Maliban sa walang pangalang OTC, gumamit din si Conti ng ilang kilalang serbisyo para mag-cash out ng ransom money, sabi ni Crystal. Ang mga conti-associated na address ay nagpadala ng Bitcoin sa: ang ngayon ay sinanction na Russian OTC Suex; ang Hydra darknet marketplace; ang RenBTC exchange; at mga address na nauugnay sa Wasabi, isang non-custodial wallet na nagbibigay-daan sa mga user na malabo ang pinagmulan ng kanilang mga pondo sa pamamagitan ng pagsasama sa kanila sa Bitcoin ng ibang tao sa tinatawag na CoinJoin mga transaksyon.