Cuộc Sống Hàng Ngày của Băng Nhóm Ransomware Nguy Hiểm Nhất Thế Giới

Băng nhóm ransomware Conti đang đứng đầu thế giới. Mạng lưới rộng lớn của các tội phạm mạng đã chiếm đoạt 180 triệu đô la từ nạn nhân của mình trong năm ngoái, vượt qua thu nhập của tất cả các băng nhóm ransomware khác. Sau đó, nó ủng hộ cuộc xâm lược của Vladimir Putin vào Ukraine. Và mọi thứ bắt đầu sụp đổ.

Cuộc suy thoái của Conti bắt đầu với một bài đăng duy nhất trên trang web của nhóm, thường dành cho việc đăng tên của những người bị nạn nhân. Một vài giờ sau khi binh sĩ Nga vượt qua biên giới Ukraine vào ngày 24 tháng 2, Conti đưa ra “hỗ trợ đầy đủ” cho chính phủ Nga và đe dọa hack hạ tầng quan trọng của bất kỳ ai dám tiến hành tấn công mạng trực tuyến chống lại Nga.

Nhưng trong khi nhiều thành viên Conti sống ở Nga, phạm vi của nó là quốc tế. Cuộc chiến đã chia rẽ nhóm; riêng tư, một số người đã la ó chống lại xâm lược của Putin. Và trong khi các lãnh đạo Conti vội vã rút lại tuyên bố của họ, đã quá muộn. Thương vụ đã xảy ra. Đặc biệt là vì hàng chục người có quyền truy cập vào các tệp và hệ thống trò chuyện nội bộ của Conti bao gồm một nghiên cứu an ninh mạng người Ukraine đã xâm nhập vào nhóm. Họ tiếp tục làm sạch Conti.

Ngày 28 tháng 2, một tài khoản Twitter mới được tạo có tên là @ContiLeaks đã phát hành hơn 60,000 tin nhắn trò chuyện được gửi giữa các thành viên của băng nhóm, mã nguồn của nó và hàng chục tài liệu nội bộ của Conti. Phạm vi và quy mô của vụ rò rỉ là chưa từng có; chưa bao giờ trước đây các hoạt động hàng ngày của một nhóm ransomware được tiết lộ một cách trần trụi như vậy. “Vin glory to Ukraine,” @ContiLeaks tweet.

Những tin nhắn bị rò rỉ, được MYTOUR đánh giá chi tiết, cung cấp một cái nhìn chưa từng có vào các hoạt động của Conti và tiết lộ bản chất tàn nhẫn của một trong những băng nhóm ransomware thành công nhất thế giới. Trong số những phát hiện của họ là cấu trúc tổ chức chuyên nghiệp, tính cách của các thành viên, cách họ tránh cơ quan chức năng và chi tiết của cuộc đàm phán ransomware.

“Chúng tôi thấy băng nhóm tiến triển. Chúng tôi thấy băng nhóm sống. Chúng tôi thấy băng nhóm phạm tội và thay đổi qua nhiều năm,” nói Alex Holden, người sáng lập công ty Hold Security đã theo dõi các thành viên Conti trong hầu hết thập kỷ qua. Holden, người sinh ra ở Ukraine nhưng sống ở Mỹ, nói rằng anh ta biết người nghiên cứu an ninh mạng đã rò rỉ tài liệu nhưng nói rằng họ giữ danh tính ẩn danh vì lý do an toàn.

Băng nhóm ransomware Conti hoạt động giống như bất kỳ doanh nghiệp nào khác trên thế giới. Nó có nhiều bộ phận, từ nhân sự và quản trị viên đến lập trình viên và nhà nghiên cứu. Nó có chính sách về cách hacker của mình nên xử lý mã nguồn của họ và chia sẻ các phương thức tốt nhất để giữ cho các thành viên của nhóm tránh khỏi cơ quan chức năng.

Ở đỉnh cao của doanh nghiệp là Stern, còn được biết đến với cái tên Demon và hoạt động như là CEO—các thành viên Conti gọi Stern là "big boss." Tất cả các thành viên Conti đều có tên người dùng giả mạo, có thể thay đổi. Stern thường xuyên đuổi theo những người làm việc dưới quyền và muốn họ báo cáo về thời gian của họ. "Chào bạn, bạn đang làm gì, hãy viết về kết quả, thành công hoặc thất bại," Stern viết trong một tin nhắn gửi cho hơn 50 thành viên Conti vào tháng 3 năm 2021.

Nhật ký trò chuyện của Conti kéo dài trong vòng hai năm, từ đầu năm 2020 đến ngày 27 tháng 2 năm 2022—ngày trước khi tin nhắn bị rò rỉ. Vào tháng 2, MYTOUR đã báo cáo về một số ít tin nhắn sau khi chúng được cung cấp bởi một nguồn khác. Các cuộc trò chuyện là mảnh vụng—hãy tưởng tượng việc lấy tin nhắn WhatsApp hoặc Signal của bạn ra khỏi ngữ cảnh—và được phát hành dưới dạng tiếng Nga gốc của chúng. MYTOUR đã xem xét một phiên bản dịch máy của các tin nhắn.

Một số cuộc trò chuyện tiêu biểu nhất diễn ra giữa Stern và Mango, người đóng vai trò làm quản lý chung trong Conti. Mango thường xuyên tỏ ra buồn phiền với các thành viên nhóm hoặc cung cấp cập nhật cho Stern về các dự án của nhóm. “Họ dường như chịu trách nhiệm về việc cung cấp các công cụ khác nhau cho các bộ phận khác nhau và đảm bảo rằng nhân viên được trả lương,” Kimberly Goody, giám đốc phân tích tội phạm mạng tại công ty an ninh Mandiant nói.

Đội ngũ chính của Conti gồm 62 người, Mango nói với Stern vào giữa năm 2021. Số chính xác của các thành viên Conti biến động theo thời gian—đôi khi lên đến khoảng 100—khi mọi người tham gia và rời nhóm. Trong một trường hợp, Stern nói họ đang nghĩ đến việc tuyển thêm 100 người tham gia. “Nhóm quá lớn, đến mức vẫn còn có các quản lý cấp trung,” thành viên nhóm Revers nói với Meatball vào tháng 6 năm 2021.

Người lao động tiềm năng được đưa vào hệ thống tuyển dụng của Conti từ các diễn đàn hacker cũng như các trang web việc làm chính thức trên toàn mạng. Có thậm chí có một quy trình tiếp nhận: Khi một thành viên mới gia nhập nhóm, họ sẽ được giới thiệu với người chỉ đạo nhóm của họ, người sẽ giao nhiệm vụ cho họ. “Tôi sẽ tổ chức một cuộc họp kế hoạch vào buổi tối và bổ nhiệm bạn vào nhóm,” Revers nói trong một tin nhắn khác.

“Điều có thể ấn tượng ngay từ cái nhìn đầu tiên là quy mô, cấu trúc và hệ thống lãnh đạo của tổ chức,” Soufiane Tahiri, một nhà nghiên cứu bảo mật đang xem xét các tài liệu, nói. “Họ hoạt động khá giống như một công ty phát triển phần mềm và trái ngược với quan điểm phổ biến, có vẻ như nhiều lập trình viên có lương và không tham gia vào việc đòi tiền chuộc có phí.”

Các lập trình viên cấp dưới được trả khoảng 1.500 đến 2.000 đô la mỗi tháng cho công việc của họ, nhưng những người đàm phán về thanh toán chuộc có thể lấy một phần lợi nhuận. Nhóm thậm chí tuyên bố có một nhà báo không tên trong bảng lương của họ vào tháng 4 năm 2021, người sẽ nhận 5 phần trăm bằng cách giúp áp đặt áp lực lên nạn nhân để thanh toán. “Chúng tôi có lương vào ngày 1 và 15, thường là 2 lần một tháng,” Mango nói với một thành viên trong nhóm. Đôi khi các thành viên Conti yêu cầu thêm tiền do vấn đề gia đình—có người tuyên bố họ cần nhiều hơn vì mẹ họ mắc bệnh đau tim—hoặc do họ đang túng tiền.

Tiền bạc là chủ đề thường xuyên được thảo luận trong Conti—cả ở cấp độ cá nhân và nhóm. Họ tranh luận về số tiền chuộc, thường là hàng triệu đô la, mà họ dự định thu từ doanh nghiệp để cung cấp chìa khóa giải mã cho tệp của họ. Họ thảo luận về ngân sách có sẵn để mua thiết bị và chi phí vận hành văn phòng và máy chủ vật lý. “Họ cũng chia sẻ một bảng tính Google chứa danh sách các chi phí,” Goody nói về một trường hợp.

Tuy nhiên, một số thành viên Conti thể hiện sự kiêu căng của các tên tội phạm mạng bị bắt lái xe ô tô sang trọng và lưu trữ núi tiền mặt. Bio khoe họ có “80k” trong tài khoản ngân hàng và họ đã “kiếm được nhiều hơn trong tháng này với bạn hơn trong 10 năm.” Họ nhanh chóng rút lại, nói họ có lẽ đã phóng đại. Trong một dịp khác, Skippy nói họ đã mua một chiếc iMac 27 inch với số tiền kiếm được của họ—“mong ước cả đời.”

Skippy cũng rất hào hứng về việc nghỉ làm. Tháng 11 năm 2021, họ nói họ dự định bay nước ngoài vào năm mới nhưng bị Mango cảnh báo rằng họ có thể bị bắt. “Đương nhiên là tùy thuộc vào bạn, nhưng tôi không sẽ bay nước ngoài,” Mango nói. Skippy trả lời hỏi liệu họ có định “ngồi ở Nga” suốt đời hay không. Mango khuyên họ đảm bảo điện thoại của mình “sạch sẽ” và không mang theo laptop. Trong những dịp khác, các thành viên của băng nhóm hỏi cấp trên của họ liệu kỳ nghỉ mà họ yêu cầu đã được chấp thuận chưa và họ có thể kết thúc công việc sớm hay không.

“Chúng tôi đã tìm thấy thông qua nhật ký của mình rằng họ có đầy đủ các hướng dẫn về cách duy trì tinh thần đồng đội,” Vitali Kremez, Giám đốc điều hành của công ty an ninh AdvIntel nói. Nghiên cứu của Kremez được đề cập tên bởi Conti nhiều lần trong suốt cuộc trò chuyện. “Họ không chỉ kiếm tiền, họ đang nghĩ về những người và cách làm cho họ thành công hơn trong môi trường mà họ đã tạo ra.”

Nhiều cuộc trò chuyện là những cuộc trò chuyện nhạt nhòa hàng ngày khi các thành viên nhóm làm quen và thậm chí làm bạn với nhau. Đêm Giao thừa năm 2021, một số người chúc nhau mọi điều tốt lành cho năm 2022; thành viên nói với người khác rằng họ đã mắc Covid-19; họ gặp vấn đề về kết nối (“thật xin lỗi, internet của tôi chết rồi”); và họ tạo mối liên kết qua các cuộc trò chuyện về đối tác hoặc người yêu cũ. Những cuộc trò chuyện như nước mát vậy tạo ra một sự tương phản rõ ràng so với công việc tăm tối của Conti.

Mặc dù có một số tình đồng đội, tỷ lệ nghỉ việc của nhân viên là khá cao. Có vẻ như các thành viên thường xuyên rời đi, điều này đòi hỏi việc tuyển dụng liên tục. Như đã thông tin trước đây từ MYTOUR, trong năm 2020, các thành viên Conti, là một phần của băng nhóm tội phạm mạng Trickbot lớn, đã thảo luận về việc mở sáu văn phòng tại St. Petersburg để tuyển dụng nhân sự mới. Tháng 7 năm 2021, Mango nhắn Stern và nói họ quan tâm đến việc chuyển đến Moscow “lúc” và bắt đầu một công ty mới. Phản ánh xu hướng làm việc từ xa trong hai năm qua, Stern trả lời: "bây giờ quản lý nhóm từ laptop tốt hơn."

Hầu hết các tin nhắn chat Conti bị rò rỉ là tin nhắn riêng gửi qua Jabber, nhưng nhóm điều phối các cuộc tấn công bằng cách sử dụng Rocket.Chat, một nền tảng kiểu slack có thể dễ dàng được mã hóa. Giống như Slack hoặc Microsoft Teams, Rocket.Chat liệt kê các kênh của một nhóm ở phía trái.

“Đã có các kênh được tạo ra đặc biệt cho các nạn nhân tiềm ẩn hoặc nạn nhân đã bị nhiễm,” nói Émilio Gonzalez, một nhà nghiên cứu an ninh người Canada nghiên cứu các tệp Conti và tái tạo cuộc trò chuyện Rocket.Chat của nhóm. Các công ty được liệt kê là “chết” hoặc “hoàn thành” trong tên kênh. Mỗi kênh có từ hai đến bốn người tham gia với các cấp độ chức danh và trách nhiệm khác nhau, Gonzalez nói. “Cuộc trò chuyện thường bắt đầu bằng thông tin đăng nhập hoặc quyền truy cập vào máy chủ cụ thể trên mạng của nạn nhân.” Các cuộc tấn công sau đó tiến triển từ đó. Một đánh giá các tin nhắn RocketChat tháng 2 năm 2022 của The Intercept cho thấy nhóm đang thảo luận về việc sử dụng ma túy và nội dung lạm dụng tình dục trẻ em trong các kênh chung, và đưa ra ý kiến chống Semit về Tổng thống Ukraine Volodymyr Zelensky.

Ngoài các tin nhắn chat của mình, Conti sử dụng các công cụ phổ biến để tổ chức. Nhóm thường xuyên tham chiếu đến trình duyệt Tor để trực tuyến và GPG cùng ProtonMail để gửi email được mã hóa, sử dụng Privnote cho các tin nhắn tự hủy, và chia sẻ tệp qua file.io, qaz.im, và dịch vụ Send của Firefox đã ngừng sử dụng. Họ cũng sử dụng cơ sở dữ liệu, như Crunchbase, để thu thập thông tin tình báo về các doanh nghiệp họ muốn nhắm đến.

Trong cấu trúc tổ chức của Conti là một nhóm chuyên về tình báo nguồn mở chịu trách nhiệm về việc tìm hiểu về các mối đe dọa tiềm ẩn. Nhóm đã thử mua các hệ thống antivirus từ các công ty an ninh để kiểm tra phần mềm độc hại của họ - tạo ra các công ty giả mạo để làm điều này. Họ lan truyền video trên YouTube về các nghiên cứu bảo mật mới nhất, theo dõi những gì các nhà nghiên cứu nói về họ và chia sẻ các bài báo về nhóm. (Một thành viên Conti gửi Stern một bản tóm tắt tiếng Nga về câu chuyện tháng 2 của MYTOUR về nhóm Trickbot ngay sau khi nó được xuất bản).

Giống như bất kỳ nơi làm việc nào khác, các thành viên Conti cảm thấy tức giận với đồng nghiệp của họ. Người ta không trả lời tin nhắn, họ biến mất trong khi làm việc (“anh ấy đi cắt tóc”), và họ than phiền về thời gian làm việc dài. “Với phần của tôi, tôi không đồng ý với ý kiến rằng tôi nên liên lạc 24 giờ,” Driver than phiền vào tháng 3 năm 2021. Làm việc mọi lúc trong ngày “là một con đường trực tiếp đến việc kiệt sức,” họ nói.

Băng nhóm phạt những thành viên làm việc không hiệu quả hoặc không xuất hiện, phân tích các cuộc trò chuyện của công ty an ninh CheckPoint cho thấy. “Tôi có 100 người ở đây, một nửa trong số họ, thậm chí 10 phần trăm, không làm những gì họ cần,” Stern nói với Mango vào mùa hè năm 2021. “Và họ chỉ yêu cầu tiền, vì họ nghĩ rằng họ là đám mắc công.” Tại một thời điểm khác, Stern mắng một người: “mọi người làm việc ngoại trừ bạn.”

Thành viên Conti có tên Dollar là một nỗi đau đặc biệt. Ngày 20 tháng 1 năm 2022, tài khoản Cyberganster phát đi một tràng tiếng lẽ về Dollar cho Mango. “Hãy loại bỏ đô la khỏi trò chơi,” Cyberganster viết. “Anh ấy là một thằng cha phức tạp.” Được cho là Dollar đã tập trung vào các bệnh viện với ransomware của nhóm mặc dù đã được bảo không làm vậy. Các thành viên Conti nói họ có một quy tắc là không tấn công bệnh viện hoặc trung tâm y tế, mặc dù cuộc tấn công vào dịch vụ y tế của Ireland vào tháng 5 năm 2021 đã khiến tổ chức phải chi trả 600 triệu đô la để phục hồi. Sáu ngày sau khi Cybergangster than phiền, Mango đối mặt với Dollar. “Anh thực sự [là] nhiều vấn đề hơn là tốt,” một tin nhắn trong một loạt 11 tin nói. Mango nói “mọi người liên tục than phiền về anh và tức giận” và buộc tội Dollar làm hỏng “uy tín” của băng nhóm bằng cách tập trung vào các bệnh viện.

Mặc dù cuộc sống công việc hàng ngày của họ bị tiết lộ, nhóm Conti vẫn chưa biến mất. Tuy nhiên, các tin nhắn bao gồm một dãy chi tiết cá nhân, như các tên họ sử dụng trực tuyến, địa chỉ Bitcoin và địa chỉ email. “Nếu thông tin này là đúng, nó chắc chắn sẽ làm cuộc sống dễ dàng hơn cho lực lượng chức năng,” Tahiri nói. “Bằng cách phá hủy nhóm đằng sau Trickbot/Conti, chúng ta có thể chắc chắn rằng toàn bộ cơ sở hạ tầng sẽ chịu tổn thất.” Điều này là điều mà các thành viên của nhóm thật sự nhận thức: “Chúng ta đã nằm trong tin tức,” đọc một trong những tin nhắn cuối cùng được gửi trước khi rò rỉ.

Thêm nhiều bài viết tuyệt vời từ MYTOUR

• 📩 Cập nhật mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
• Làm thế nào Telegram trở thành đối thủ của Facebook
• Điện gió có thể làm nhiễu tín hiệu radar của tàu
• Thống đốc Colorado nghiện blockchain
• Kỷ nguyên của mọi thứ văn hóa đang đến
• Một troll internet nhắm vào các công ty khởi nghiệp rượu không cồn
• 👁️ Khám phá AI như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
• 📱 Rơi vào sự lựa chọn giữa những chiếc điện thoại mới nhất? Đừng sợ—xem hướng dẫn mua iPhone của chúng tôi và những chiếc điện thoại Android yêu thích