Банда вирусов-вымогателей выманила 725 BTC за ONE атаку, обнаружили сыщики на блокчейне

Вывод

• Объединив журналы чатов, утекшие в феврале, с последующим анализом данных блокчейна, исследователи получили новую информацию о печально известной группировке хакеров-вымогателей Conti.
• Согласно обзору утекших чатов, проведенному CoinDesk , банда использовала внебиржевых брокеров в России для обналичивания Криптo , полученной от жертв, и оплаты членам группировки за их работу.
• По данным внутренней переписки хакеров, по крайней мере ONE американская больница, атакованная вирусом-вымогателем Conti во время пандемии коронавируса, заплатила выкуп.
• По данным анализа Crystal Blockchain, опубликованного во вторник, сумма выкупа, выплаченного банде, могла составить 725 BTC и более.
• По словам Кристала, были обнаружены новые кошельки, которые использовал Конти.

В феврале хакер слил логи чатов печально известной банды вымогателей, предоставив RARE возможность заглянуть в повседневные операции этого преступного бизнеса и важную роль криптовалюты в нем. Но данные блокчейна помогают нарисовать более полную картину.

Утечка сообщений показала, что у хакеров Conti было больше жертв, чем сообщалось ранее. Они также показали, что некоторые из этих организаций заплатили за то, чтобы вернуть свои ИТ-системы, и что банда имела связи с другим печально известным киберпреступным кольцом, известным как Ryuk. Возможно, самое важное, что кэш раскрыл ранее неизвестные адреса Bitcoin кошельков Conti (BTC).

Это послужило отправной точкой для ончейн-сыщиков, чтобы заполнить больше частей головоломки. Например, данные блокчейна показывают, что по крайней мере ONE из больниц США, атакованных во время пандемии, могла заплатить выкуп хакерам Conti.

CoinDesk рассмотрел слитые сообщения участников Conti и проанализировал Криптo и транзакции хакеров с помощью аналитической компании Crystal Blockchain. Это упражнение подчеркнуло устойчивый парадокс Криптo: в то время как неконтролируемая сеть с неблокируемыми транзакциями очень полезна для преступников, публичный реестр оставляет след из крошек, который правоохранительные органы и исследователи могут найти позже.

Хакеры взломаны

Банды вирусов-вымогателей — это угроза, порожденная кибер-эпохой. Хотя опустошение, которое они сеют в корпорациях, иногда видимо и ощутимо (вспомните нехватку GAS , спровоцированную Атака на колониальный трубопроводв прошлом году?), их личности и методы работы по большей части остаются скрытыми.

Теперь занавес слегка приоткрылся в результате войны на Украине.

25 февраля группа Contiзаявил о своей верностироссийскому правительству после вторжения в Украину. На своем официальном сайте Conti пригрозила отомстить Западу в ответ на потенциальные кибератаки против России. Это кибербряцание оружием, похоже, спровоцировало утечки, которые появились в нескольких местах.

АУкраинский исследователь безопасностиПолучившие доступ к ИТ-инфраструктуре группировки, слили журналистам и исследователям безопасности сообщения, накопленные на внутреннем сервере Jabber/XMPP группировки с 2020 по 2021 год, сообщает CNN. Другие сообщения СМИпредложенныйутечка была сделана недовольным украинским членом банды Конти. Архивные сообщения былиопубликованочерез аккаунт в Twitter, посвященный исследованию штаммов вредоносного ПО, известный как @vxunderground.

«Группа вымогателей Conti ранее опубликовала сообщение в поддержку российского правительства. Сегодня один из участников Conti начал сливать данные с сообщением «К черту российское правительство, слава Украине!»»твитнул@vxunderground.

Картели, занимающиеся вымогательством

Утечка сообщений банды Конти дает некоторое представление о том, как могут быть связаны различные штаммы программ-вымогателей.

Согласно сообщениям Conti, группа работала с различными штаммами программ-вымогателей и группами, эксплуатирующими эти штаммы: участники упоминают работу с программами-вымогателями Ryuk, Trikbot и Maze. Согласно сообщениям, члены Conti не только управляли собственным бизнесом по производству программ-вымогателей, но и предоставляли инструменты и услуги другим хакерским группам.

Например, 23 июня 2020 года лидер группы по прозвищу Стерн говорит менеджеру низшего звена, известному как Target, по-русски: «Скоро Рюк вернется из отпуска. Он заберет всех ботов, которые у нас есть. Для него нам нужно 5 тысяч компаний». (Из предыдущего и последующего сообщений неясно, какие компании имел в виду Стерн.)

Сообщения также оставили финансовый след этого партнерства: транзакцию Bitcoin между бандами Конти и Рюк, упомянутую Crystal Blockchain в мартовском сообщении. запись в блоге.

В сентябре 2019 года ONE из Bitcoin -кошельков, связанных с Conti отправлено 26.25 BTC(на тот момент стоимостью около 200 000 долларов США) на кошелек, связанный с Ryuk, свидетельствуют данные блокчейна.

«Информация о платежах, содержащаяся в просочившихся чатах, убедительно подтверждает эту связь и то, что Conti, вероятно, пытался связаться с Ryuk», — сказал Кристал в сообщении в блоге. «Мы также заметили, что Ryuk отправлял платежи напрямую на кошелек Conti, который упоминался в истории чата несколько раз; это предполагает аффилированность и некоторую степень оперативной координации между этими двумя группами».

Читайте также:Отслежены Bitcoin -сбережения хакеров DarkSide

Ранее исследователи кибербезопасностиуказал на возможную связь между операторами Ryuk и Conti ransomware, поскольку вредоносное ПО содержало схожие фрагменты кода. Однако финансовые связи между злоумышленниками Ryuk и Conti ранее T были раскрыты.

Виталий Кремез из Advanced Intelсказал Bleeping ComputerШтамм вируса-вымогателя, который использует Конти, много раз переходил из рук в руки на протяжении нескольких лет, начав с Hermes в 2017 году. Затем его предположительно купили другие хакеры и превратили в Ryuk (возможно, названный в честьПерсонаж японской манги). Затем группа «раскололась, провела ребрендинг или решила перейти на название «Conti», которое, по-видимому, основано на коде из Ryuk версии 2», — пишет Bleeping Computer.

Conti действовала во время пандемии коронавируса и атаковала организации здравоохранения по всему миру, более половины из которых находились в США.по данным ФБРЭксперты по кибербезопасности давно подозревали связь Конти с российским государством, как и со многими другими группировками, занимающимися вымогательством.

Рюк известен тем, чтовзломИздательские мощности The New York Times и The Wall Street Journal в 2018 году, а также несколько других компаний. И Рюк, и Конти использовали вариант шифрования AES-256 для шифрования файлов жертв и вымогательства выкупа за ключи дешифрования.

Больше жертв

Утечка сообщений также проливает свет на масштаб успешно атакованных компаний, о многих из которых ранее не сообщалось.

Расположенный в Миннесоте медицинский центр Ridgeview был известенатакованв 2020 году, в первый год пандемии, вместе с рядом других организаций здравоохранения США, вредоносными программами Ryuk и Trickbot. Группа Conti, по-видимому, также стояла за этими атаками: участники говорят об успешном взломе сети Ridgeview и шифровании данных, необходимых медицинскому центру для работы.

По словам Кристала,сделка 30 октября 2020 года, скорее всего, это был платеж в размере 301 BTC (более 4 миллионов долларов на тот момент), который Ridgeview отправила Conti в качестве выкупа.

Днем ранее, 29 октября, члены Conti Target и Stern заявили, что Ridgeview готов заплатить 2 миллиона долларов, или 151 BTC; однако предполагаемый партнер Conti, организатор атаки, «хотел 300 BTC».

Позже, согласно логам чата, хакеры одержали верх, и 30 октября 301 BTC были отправлены с адрес приписывается Криптo бирже Gemini кошелеккоторый, по-видимому, косвенно связан с другим кошелек, который участники Conti упоминали в чатах как платежный адрес для вымогательства, по словам Кристала.

На момент публикации статьи Ridgeview не ответил на Request CoinDesk о комментарии.

Стоит помнить, что анализ блокчейна в определенной степени основан на предположениях, и приписывание адреса блокчейна определенному реальному субъекту почти никогда не бывает точным на 100%. Однако Crystal заявил, что в ONE он вполне уверен.

«Методология, которую мы использовали, заключалась в поиске связанных транзакций, которые были на ту же сумму, что и требование выкупа, и обсуждались в группе», — сказал директор по блокчейн-аналитике Crystal Ник Смарт. Он добавил, что у Crystal была «90% уверенности», что транзакция была рассматриваемым платежом выкупа, учитывая ее время, сумму и связь с ранее сообщенными кошельками Conti.

Преступной группировке удалось собрать и другие, еще более крупные суммы.

Самый большой выкуп, который неопознанная жертва заплатила Conti, согласно журналам чата, составил 725 BTC, обнаружила Crystal. Эта часть Bitcoin, эквивалентная примерно 8 миллионам долларов на тот момент, была выплачена чикагской биржей труда CareerBuilder, сказал Crystal, поскольку компания упоминалась в чатах, связанных с выплатой 725 BTC .

Получателем этого платежа мог бытьэтот Bitcoin кошелек, Кристал рассказал CoinDesk. 10 октября 2020 года адрес получено 725 BTC и немедленно отправил его дальше, на другой адрес, не связанный ни с одним Криптo , показывают данные по цепочке. Никаких других транзакций с участием этого адреса, кроме этих двух, не было.

CareerBuilder не ответил на Request CoinDesk о комментарии.

Согласно просочившимся сообщениям, возможно, было около 30 ранее не зарегистрированных жертв Conti, включая Xerox (XRX), культового Maker копировальных аппаратов, сказал Кристал. Известно, что Xerox был взломан бандой вымогателей в 2020 году; однако эксперты по кибербезопасности связанныйвзлом банды Maze.

Из журналов чатов не ясно, заплатила ли Xerox выкуп. В 2020 году произошла утечка данных, связанных с поддержкой клиентов Xerox, что говорит о том, что компания отказалась платить выкуп и в качестве наказания увидела утечку своих внутренних данных.ZDNet сообщил. Xerox отказался комментировать эту историю.

Некоторые другие атаки, проведенные в то же время, определенно были успешными.

В частности, члены Conti обсуждают атаки на канадского производителя бассейнов Softub и несколько американских компаний: транспортную компанию Piper Logistics, сетевую розничную сеть Sam's Furniture, Maker оборудования для отдыха на природе Clarus и инкассаторскую компанию Loomis.

Директор по операциям Softub Том Лалонд сообщил CoinDesk в электронном письме, что данные компании хранились в облачных резервных копиях, поэтому она T платила выкуп.

Однако атака «создала целый ряд проблем», сказал Лалонд. Компания «пережила несколько атак с использованием программ-вымогателей в течение этого периода времени», добавил он.

Piper Logistics, Sam’s Furniture, Clarus и Loomis не ответили на просьбы прокомментировать ситуацию.

В сообщениях участники Conti упоминают об атаке на 89 компаний, большинство из которых находятся в США, а также на ряд канадских, австралийских и европейских корпораций. Неясно, сколько атак были успешными и привели к выплатам в Bitcoin , но масштаб операций определенно кажется огромным, сказал Кристал в запись в блогеопубликовано во вторник.

Члены Conti даже упоминают о планах заразить Pfizer (PFE), крупного производителя фармацевтической продукции и одного из создателей вакцины от COVID-19, но неясно, была ли совершена атака и, если да, то была ли она успешной.

Кристалл также сказал эторасположеннесколько ранее не зарегистрированных кошельков, которые использовала группа Conti, благодаря этим кошелькам, упомянутым в журналах чата:кошелек который получил 200 BTC от неизвестной жертвы 26 октября 2020 года; кошелеккоторый собирал выплаты от различных атак;кошелекчлены банды управляли операционными расходами и другие.

Бюджетирование хакера

Согласно просочившимся логам чата, у Конти были некоторыебольшие планы, связанные с Криптo и блокчейном. Например, участники вынашивали идею создания своего собственногоодноранговый рынок Криптовалюта и инструмент на основе смарт-контрактовза вымогательство.

Группа также обсуждала кампании по дезинформации с целью снижения цен на мелкие криптовалюты и могла быть причастна к этому.Афера на тему игры Squid, исследователь безопасности Брайан Кребснаписал.

Однако взаимодействие группы с Криптo по большей части было более обыденным и иллюстрировало, как именно работает Криптo и как она конвертируется в фиатные деньги в преступном мире.

Утечка сообщений демонстрирует повседневную деятельность группы: участники обсуждают разработку вредоносного кода, что работает, а что T, какие платежи необходимо внести за используемые группой ИТ-услуги и взаимодействие с другими преступными группами.

Согласно сообщениям, рассмотренным CoinDesk, члены Conti использовали Криптo, среди прочего, для оплаты облачных серверов и лицензий на программное обеспечение. Например, в ONE сообщении участник под псевдонимом Defender просит Стерна отправить ему 700 долларов в Bitcoin для оплаты сервера, который использует группа.

Хотя Криптo служит основным платежным средством между членами группы, большинство предпочитало получать зарплату в фиате. Для этого члены Conti использовали внебиржевого (OTC) брокера, что является популярным методом в России и Украине, где исторически централизованные глобальные биржи были редки.

В сообщении новому участнику в июле 2020 года Стерн объясняет, как получать ежемесячную зарплату: новичок должен найти внебиржевой пункт с выгодной ценой на русскоязычном внебиржевом агрегаторе Bestchange.com, создать заказ на продажу Bitcoin для перевода на дебетовую карту и предоставить Стерну адрес депозита, который сгенерирует внебиржевой пункт.

Таким образом, «сотрудник» будет получать деньги в фиатных деньгах прямо на свою дебетовую карту, в то время как босс будет тратить Криптo, по сути, используя OTC в качестве процессора платежей.

Логи чатов показывают, что OTC также являются основным каналом вывода выкупов. В ONE из диалогов участник по имени Revers объясняет, как вымогаемая Криптo продается через брокеров OTC: При переводе Bitcoin Конти отправляет денежных мулов, или так называемых дропов, для сбора наличных, так что фактические владельцы незаконно полученных Bitcoin остаются инкогнито.

«За 300 тысяч долларов никто не поедет искать Для вас в Россию», — добавляет Реверс.

Оплата ИТ-продуктов и использование серверов часто также требуют фиатной ликвидности, и именно здесь киберпреступники, работающие в криптовалюте, могут столкнуться с некоторыми препятствиями при оплате своих счетов. В чате между двумя участниками, Strix и Carter, Strix спрашивает, как Carter платит за серверы через PayPal (PYPL), поскольку внебиржевые брокеры имеют дело только с большими суммами, чем 7 евро в месяц, которые Strix должен был платить за использование своего личного сервера.

Картер объясняет, что сначала он продает Криптo на пиринговом рынке LocalBitcoins за банковский перевод на свою дебетовую карту, а карта привязана к счету PayPal. Карта, добавляет он, «фантомная», то есть она ему T принадлежит — предположительно, используется денежный мул.

Картер утверждает, что счет PayPal проверен, что ставит вопрос о том, принадлежит ли счет PayPal, который он использует, также денежному мулу или был проверен с использованием украденных или поддельных документов, ID , — преступная услуга, доступная и процветающая в даркнете, как Расследование CoinDeskранее показано.

Читать дальше: За 200 долларов вы можете торговать Криптo , используя поддельное ID личности

Помимо безымянной OTC, Conti также использовала некоторые известные сервисы для обналичивания выкупных денег, сказал Кристал. Связанные с Conti адреса отправляли Bitcoin на: теперь санкционированную российскую OTC Suex;Гидра Торговая площадка даркнета; биржа RenBTC; и адреса, связанные с Wasabi, некастодиальным кошельком, который позволяет пользователям скрывать происхождение своих средств, объединяя их с Bitcoin других людей в так называемых МонетаПрисоединитьсятранзакции.