Gangue de ransomware extorquiu 725 BTC em um ataque, descobrem detetives on-chain

A lição

• Ao combinar registros de bate-papo vazados em fevereiro com análises subsequentes de dados de blockchain, pesquisadores obtiveram novos insights sobre a infame gangue de ransomware Conti.
• A gangue usou corretoras de balcão (OTC) na Rússia para sacar Cripto extorquidas das vítimas e pagar os membros pelo trabalho, de acordo com uma análise do CoinDesk dos chats vazados.
• Pelo menos um hospital dos EUA atacado pelo ransomware Conti durante a pandemia do coronavírus pagou o resgate, mostram as comunicações internas dos hackers.
• Os pagamentos de resgate à gangue podem ter chegado a 725 BTC ou mais, de acordo com uma análise da Crystal Blockchain divulgada na terça-feira.
• Novas carteiras usadas por Conti foram localizadas, disse Crystal.

Em fevereiro, um hacker vazou os registros de bate-papo de uma notória gangue de ransomware, oferecendo uma RARE espiada nas operações cotidianas desse negócio criminoso e no papel vital da criptomoeda nele. Mas os dados do blockchain ajudam a pintar um quadro mais completo.

As mensagens vazadas mostraram que os hackers da Conti tiveram mais vítimas do que o relatado anteriormente. Elas também revelaram que algumas dessas organizações pagaram para recuperar seus sistemas de TI e que a gangue tinha laços com outra infame rede de criminosos cibernéticos, conhecida como Ryuk. Talvez o mais importante, o cache revelou os endereços de carteira de Bitcoin (BTC) previamente desconhecidos da Conti.

Isso serviu como um ponto de partida para detetives on-chain preencherem mais peças do quebra-cabeça. Por exemplo, dados de blockchain mostram que pelo menos um dos hospitais dos EUA atacados durante a pandemia pode ter pago resgate aos hackers da Conti.

O CoinDesk revisou as mensagens vazadas dos membros do Conti e analisou as carteiras de Cripto e transações dos hackers com a ajuda da empresa de análise on-chain Crystal Blockchain. O exercício ressaltou um paradoxo duradouro da Cripto: enquanto uma rede sem barreiras com transações desbloqueáveis ​​é altamente útil para criminosos, o livro-razão público deixa um rastro de migalhas para a polícia e pesquisadores encontrarem mais tarde.

Hackers são hackeados

As gangues de ransomware são uma ameaça nascida da era cibernética. Embora a devastação que espalham nas corporações seja às vezes visível e tangível (lembre-se da escassez de GAS provocada pela Ataque ao Oleoduto Colonialano passado?), suas identidades e a maneira como operam permanecem em grande parte ocultas.

Agora, a cortina se abriu um pouco como resultado indireto da guerra na Ucrânia.

Em 25 de fevereiro, o grupo Contideclarou sua lealdadeao governo russo após a invasão da Ucrânia. Em seu site oficial, a Conti ameaçou retaliar o Ocidente em resposta a potenciais ataques cibernéticos contra a Rússia. Esse barulho de sabre cibernético parece ter provocado os vazamentos, que apareceram em vários lugares.

UmPesquisador de segurança ucranianoque obteve acesso à infraestrutura de TI do grupo vazou as mensagens que se acumularam no servidor interno Jabber/XMPP da gangue de 2020 a 2021 para jornalistas e pesquisadores de segurança, de acordo com a CNN. Outros relatos da mídiasugeridoo vazamento foi feito por um membro ucraniano descontente da gangue Conti. As mensagens arquivadas forampublicadopor uma conta do Twitter dedicada à pesquisa de cepas de malware, conhecida como @vxunderground.

“O grupo de ransomware Conti divulgou anteriormente uma mensagem apoiando o governo russo. Hoje, um membro do Conti começou a vazar dados com a mensagem ‘F**k the Russian government, Glory to Ukraine!’”tweetou@vxunderground.

Cartéis de extorsão

As comunicações vazadas da gangue Conti oferecem alguma visibilidade sobre como diferentes cepas de ransomware podem estar relacionadas.

De acordo com as mensagens de Conti, o grupo tem trabalhado com várias cepas de ransomware e grupos que operam essas cepas: os membros mencionam trabalhar com Ryuk, Trikbot e Maze ransomware. De acordo com as mensagens, os membros do Conti não apenas administravam seus próprios negócios de ransomware, mas também forneciam ferramentas e serviços para outros grupos de hackers.

Por exemplo, em 23 de junho de 2020, o líder do grupo, apelidado de Stern, diz a um gerente de nível inferior conhecido como Target, em russo: “Ryuk vai voltar das férias em breve. Ele vai levar todos os bots que temos. Para ele, precisamos de 5 mil empresas.” (Não está claro nas mensagens anteriores e posteriores a quais empresas Stern se referia.)

As mensagens também deixaram um rastro financeiro dessa parceria: uma transação de Bitcoin entre as gangues Conti e Ryuk, mencionada pela Crystal Blockchain em março postagem de blog.

Em setembro de 2019, uma das carteiras de Bitcoin associadas à Conti enviou 26,25 BTC(no valor de cerca de US$ 200.000 na época) para uma carteira associada a Ryuk, mostram dados de blockchain.

“As informações de pagamento contidas nos chats vazados apoiam fortemente essa conexão e que Conti provavelmente tentou contatar Ryuk”, disse Crystal em uma postagem de blog. “Também observamos que Ryuk enviou pagamentos diretamente para uma carteira Conti que foi mencionada no histórico de chat várias vezes; isso sugere afiliação e algum grau de coordenação operacional entre esses dois grupos.”

Leia também:O estoque de Bitcoin dos hackers do DarkSide é rastreado

Anteriormente, os pesquisadores de segurança cibernéticaapontou para uma possível conexão entre os operadores do ransomware Ryuk e Conti porque o malware continha pedaços de código semelhantes. No entanto, as conexões financeiras entre os atacantes Ryuk e Conti T tinham sido reveladas antes.

Vitali Kremez da Intel avançadadisse ao Bleeping Computera cepa de ransomware que Conti usa mudou de mãos muitas vezes ao longo de vários anos, começando como Hermes em 2017. Então, foi supostamente comprada por outros hackers e transformada em Ryuk (possivelmente nomeado em homenagem a umPersonagem de mangá japonês). Então, o grupo “se dividiu, mudou de nome ou decidiu fazer a transição para o nome ‘Conti’, que parece ser baseado no código da versão 2 do Ryuk”, escreveu o Bleeping Computer.

A Conti operou durante a pandemia do coronavírus e atacou organizações de saúde em todo o mundo, mais da metade das quais estavam localizadas nos EUA.de acordo com o FBI. Especialistas em segurança cibernética há muito suspeitam da conexão de Conti com o estado russo, junto com muitas outras gangues de ransomware.

Ryuk é conhecido porhackeandoAs instalações de publicação do The New York Times e do The Wall Street Journal em 2018, bem como várias outras empresas. Tanto Ryuk quanto Conti usaram uma variante da criptografia AES-256 para criptografar os arquivos das vítimas e extorquir resgate por chaves de descriptografia.

Mais vítimas

As mensagens vazadas também revelam a amplitude de empresas atacadas com sucesso, muitas das quais não haviam sido relatadas anteriormente.

O Ridgeview Medical Center, sediado em Minnesota, era famoso poratacadoem 2020, o primeiro ano da pandemia, junto com uma série de outras organizações de saúde dos EUA, pelas cepas de malware Ryuk e Trickbot. O grupo Conti estava, aparentemente, por trás desses ataques também: os membros falam sobre hackear com sucesso a rede de Ridgeview e criptografar os dados que o centro médico precisava para operar.

Segundo Crystal, umatransação em 30 de outubro de 2020, é provavelmente o pagamento de 301 BTC (mais de US$ 4 milhões na época) que Ridgeview enviou a Conti como resgate.

Um dia antes, em 29 de outubro, os membros da Conti, Target e Stern, mencionaram que a Ridgeview estava pronta para pagar US$ 2 milhões, ou 151 BTC; no entanto, o suposto parceiro de Conti, o organizador do ataque, “queria 300 BTC”.

Mais tarde, de acordo com os registros de bate-papo, os hackers prevaleceram e, em 30 de outubro, 301 BTC foram enviados de um endereço atribuído à bolsa de Cripto Gemini para um carteiraque parece estar indiretamente relacionado a outro carteira, que os membros do Conti mencionaram nos chats como um endereço de pagamento para extorsão, de acordo com Crystal.

A Ridgeview não retornou o Request de comentário da CoinDesk até o momento.

Vale lembrar que a análise de blockchain, até certo ponto, é baseada em suposições, e a atribuição de um endereço de blockchain a uma determinada entidade da vida real quase nunca é 100% precisa. No entanto, a Crystal disse que está bastante confiante ONE.

“A metodologia que usamos foi procurar transações relacionadas que estivessem no mesmo valor da demanda de resgate e fossem discutidas no grupo”, disse o diretor de inteligência de blockchain da Crystal, Nick Smart. Ele acrescentou que a Crystal tinha “90% de confiança” de que a transação era o pagamento de resgate em questão, dado seu momento, valor e conexão com as carteiras Conti relatadas anteriormente.

Houve outros pagamentos ainda maiores que o grupo criminoso conseguiu reunir.

O maior resgate que uma empresa vítima não identificada pagou a Conti, de acordo com os registros de bate-papo, foi de 725 BTC, descobriu Crystal. Esse pedaço de Bitcoin, equivalente a cerca de US$ 8 milhões na época, foi pago pelo mercado de empregos CareerBuilder, sediado em Chicago, disse Crystal, já que a empresa foi mencionada nos bate-papos relacionados ao pagamento de 725 BTC .

O destinatário desse pagamento poderia ter sidoesta carteira Bitcoin, Crystal disse ao CoinDesk. Em 10 de outubro de 2020, o endereço recebeu 725 BTC e imediatamente o enviou para outro endereço não associado a nenhum serviço de Cripto , mostram dados on-chain. Não houve outras transações envolvendo o endereço, exceto essas duas.

O CareerBuilder não respondeu ao Request de comentário da CoinDesk.

De acordo com as mensagens vazadas, pode ter havido cerca de 30 vítimas não relatadas anteriormente da Conti, incluindo a Xerox (XRX), a icônica Maker de fotocopiadoras, disse Crystal. A Xerox era conhecida por ter sido hackeada por uma gangue de ransomware em 2020; no entanto, especialistas em segurança cibernética vinculadoo hack para a gangue Maze.

Não está claro nos registros de bate-papo se a Xerox pagou o resgate. Em 2020, dados relacionados ao suporte ao cliente da Xerox vazaram, sugerindo que a empresa se recusou a pagar o resgate e viu seus dados internos vazarem como punição,ZDNet relatouA Xerox não quis comentar esta história.

Alguns outros ataques ao mesmo tempo foram definitivamente bem-sucedidos.

Em particular, os membros do Conti discutem ataques ao fabricante canadense de piscinas Softub e a diversas empresas sediadas nos EUA: a empresa de transporte Piper Logistics, a rede varejista Sam's Furniture, a Maker de equipamentos para atividades ao ar livre Clarus e a empresa de movimentação de dinheiro Loomis.

O diretor de operações da Softub, Tom Lalonde, disse ao CoinDesk em um e-mail que a empresa tinha seus dados salvos em backups na nuvem, por isso T pagou o resgate.

No entanto, o ataque “criou um monte de problemas”, disse Lalonde. A empresa “teve alguns ataques de ransomware durante esse período”, ele acrescentou.

Piper Logistics, Sam’s Furniture, Clarus e Loomis não responderam aos pedidos de comentários.

Nas mensagens, os membros do Conti mencionam atacar 89 empresas, a maioria delas sediada nos EUA, junto com um monte de corporações canadenses, australianas e europeias. Não está claro quantos dos ataques foram bem-sucedidos e levaram a pagamentos em Bitcoin , mas a escala das operações definitivamente parece enorme, disse Crystal em um postagem de blogpublicado na terça-feira.

Os membros do Conti até mencionam planos para infectar a Pfizer (PFE), a principal fabricante de produtos farmacêuticos e cocriadora de uma vacina contra a COVID-19, mas não está claro se um ataque foi conduzido e, em caso afirmativo, se foi bem-sucedido.

Crystal também disse issolocalizadovárias carteiras não relatadas anteriormente que o grupo Conti usou, graças a essas carteiras serem mencionadas nos registros de bate-papo: acarteira que recebeu 200 BTC de uma vítima não identificada em 26 de outubro de 2020; carteiraque coletou pagamentos de vários ataques; umcarteiramembros de gangues costumavam gerenciar despesas operacionais; e outros.

Orçamento do hacker

De acordo com os registros de bate-papo vazados, Conti teve algunsgrandes planos relacionados a Cripto e blockchain. Por exemplo, os membros têm pensado em criar o seu própriomercado de Criptomoeda ponto a ponto e uma ferramenta baseada em contratos inteligentespor extorsão.

O grupo também discutiu campanhas de desinformação para derrubar os preços de criptomoedas menores e pode ter se envolvido noGolpe de saída com tema de Squid Game, pesquisador de segurança Brian Krebsescreveu.

Mas as interações do grupo com Cripto, na maior parte, têm sido mais mundanas e ilustram exatamente como as Cripto funcionam e como elas são convertidas em moeda fiduciária no submundo do crime.

As mensagens vazadas mostram as operações diárias do grupo: os membros discutem o desenvolvimento do código malicioso, o que funciona e o que T, quais pagamentos são devidos pelos serviços de TI que o grupo usa e a interação com outros grupos criminosos.

De acordo com as mensagens revisadas pelo CoinDesk, os membros do Conti usaram Cripto, entre outras coisas, para pagar por servidores em nuvem e licenças de software. Por exemplo, em uma mensagem, um membro apelidado de Defender está pedindo a Stern que lhe envie US$ 700 em Bitcoin para pagar pelo servidor que o grupo está usando.

Embora a Cripto sirva como o principal método de pagamento entre os membros do grupo, a maioria preferia receber seus salários em moeda fiduciária. Para isso, os membros do Conti usaram uma corretora de balcão (OTC), que é um método popular na Rússia e na Ucrânia, onde as exchanges centralizadas globais historicamente têm sido escassas.

Em uma mensagem para um novo membro em julho de 2020, Stern explica como receber um salário mensal: O novo recruta deve encontrar um balcão de balcão com um preço favorável no agregador de balcão de balcão em russo Bestchange.com, criar uma ordem para vender Bitcoin para uma transferência com cartão de débito e fornecer a Stern um endereço de depósito que o balcão de balcão geraria.

Dessa forma, o “funcionário” receberia dinheiro em moeda fiduciária diretamente em seu cartão de débito, enquanto o chefe gastaria Cripto, essencialmente usando o OTC como um processador de pagamento.

Os OTCs também são o principal canal de saques de resgate, mostram os registros de bate-papo. Em um diálogo, um membro chamado Revers explica como a Cripto extorquida é vendida por meio de corretores OTC: Ao transferir Bitcoin, Conti envia mulas de dinheiro, ou os chamados drops, para coletar o dinheiro, para que os verdadeiros donos do Bitcoin obtido de forma ilícita permaneçam incógnitos.

“Por US$ 300 mil, ninguém iria à Rússia para procurar Para Você”, acrescenta Revers.

O pagamento por produtos de TI e uso de servidores geralmente requer liquidez fiduciária também, e é aí que os criminosos cibernéticos nativos de criptomoedas podem enfrentar alguns obstáculos para pagar suas contas. Em um bate-papo entre dois membros, Strix e Carter, Strix pergunta como Carter paga por servidores via PayPal (PYPL), já que os corretores OTC lidam apenas com somas maiores do que os 7 euros por mês que Strix precisava pagar para usar seu servidor pessoal.

Carter explica que, primeiro, ele vende Cripto no mercado peer-to-peer LocalBitcoins para uma transferência bancária para seu cartão de débito, e o cartão é vinculado a uma conta do PayPal. O cartão, ele acrescenta, é "fantasma", ou seja, T pertence a ele — supostamente, uma mula de dinheiro é usada.

A conta do PayPal é verificada, diz Carter, levantando a questão se a conta do PayPal que ele está usando também pertence a uma mula de dinheiro ou foi verificada usando documentos de ID roubados ou falsificados - um serviço criminoso disponível e florescente na darknet, como um Investigação CoinDeskmostrado anteriormente.

Leia Mais: Por US$ 200, você pode negociar Cripto com uma ID falsa

Além do OTC sem nome, a Conti também usou alguns serviços conhecidos para sacar dinheiro de resgate, disse Crystal. Endereços associados à Conti enviaram Bitcoin para: o OTC russo agora sancionado Suex; o Hidra mercado darknet; a bolsa RenBTC; e endereços associados ao Wasabi, uma carteira sem custódia que permite aos usuários ofuscar as origens de seus fundos ao mesclá-los com o Bitcoin de outras pessoas no chamado CoinJointransações.