Thông Tin Rò Rỉ Cho Thấy Liên Kết Của Nhóm Ransomware Conti Với Nga | MYTOUR

Buzz

Ngày cập nhật gần nhất: 15/3/2026

Nội dung bài viết

Tài Liệu Rò Rỉ Cho Thấy Conti Hỗ Trợ Putin Từ Bóng Tối

Trong nhiều năm, các nhóm tội phạm mạng của Nga đã hoạt động một cách tương đối không trừng phạt. Kremlin và cảnh sát địa phương chủ yếu đã làm ngơ trước các cuộc tấn công ransomware gây rối miễn là chúng không nhắm vào các công ty Nga. Mặc dù có áp lực trực tiếp lên Vladimir Putin để giải quyết các nhóm ransomware, chúng vẫn mật thiết liên kết với lợi ích của Nga. Một vụ rò rỉ gần đây từ một trong những nhóm đáng sợ nhất như vậy cung cấp cái nhìn sơ bộ về bản chất của những liên kết đó - và độ mong manh của chúng.

Một bộ nhóm 60,000 tin nhắn và tệp tin rò rỉ từ nhóm ransomware Conti nổi tiếng cung cấp cái nhìn về cách băng nhóm tội phạm này có liên kết mạnh mẽ trong nước Nga. Những tài liệu, được MYTOUR xem xét và xuất bản lần đầu trực tuyến vào cuối tháng 2 bởi một nghiên cứu an ninh mạng người Ukraine giấu tên đã xâm nhập vào nhóm, cho thấy cách Conti hoạt động hàng ngày và những mục tiêu crypto của họ. Có khả năng chúng tiết lộ thêm về cách các thành viên Conti có liên kết với Cơ quan Bảo vệ An ninh Liên bang (FSB) và sự nhận thức sâu sắc về các hoạt động của nhóm hacker quân sự do chính phủ Nga hậu thuẫn.

Khi thế giới đang đối mặt với đợt bùng phát và làn sóng đầu tiên của đại dịch Covid-19 vào tháng 7 năm 2020, tội phạm mạng trên khắp thế giới đã chuyển sự chú ý của họ vào cuộc khủng hoảng sức khỏe. Vào ngày 16 tháng 7 của năm đó, các chính phủ của Vương quốc Anh, Hoa Kỳ và Canada công khai chỉ trích nhóm hacker quân sự do nhà nước Nga hậu thuẫn đang cố gắng đánh cắp tài sản trí tuệ liên quan đến các ứng viên vắc xin sớm nhất. Nhóm hacker Cozy Bear, còn được biết đến với tên gọi Advanced Persistent Threat 29 (APT29), tấn công vào doanh nghiệp dược và các trường đại học bằng cách sử dụng phần mềm độc hại được thay đổi và các lỗ hổng đã biết, ba chính phủ nói.

Một vài ngày sau đó, lãnh đạo của Conti nói về công việc của Cozy Bear và đề cập đến các cuộc tấn công ransomware của họ. Stern, hình ảnh giống như CEO của Conti, và Professor, một thành viên cấp cao khác, nói về việc thiết lập một văn phòng cụ thể cho “chủ đề chính trị.” Chi tiết này được MYTOUR đầu tiên đưa tin vào tháng 2 nhưng cũng được bao gồm trong những rò rỉ Conti rộng lớn hơn. Trong cuộc trò chuyện cùng, Stern nói rằng họ có “một người bên ngoại” trả tiền cho nhóm (mặc dù không nói rõ để làm gì) và thảo luận về việc tiếp quản mục tiêu từ nguồn cung. “Họ muốn biết nhiều về Covid vào lúc này,” Professor nói với Stern. “Những con gấu ấm đã đang làm việc theo danh sách.”

“Họ đề cập đến việc thiết lập một dự án dài hạn và có vẻ như đưa ra ý tưởng rằng họ [bên ngoại] sẽ giúp họ trong tương lai,” nói Kimberly Goody, giám đốc phân tích tội phạm mạng tại công ty an ninh Mandiant. “Chúng tôi tin rằng đó là một tham chiếu đến việc nếu có hành động của cơ quan chức năng sẽ được thực hiện chống lại họ, bên ngoại này có thể giúp họ với điều đó.” Goody chỉ ra rằng nhóm cũng đề cập đến Đại lộ Liteyny ở St. Petersburg - nơi đặt văn phòng FSB địa phương.

Trong khi bằng chứng về liên kết trực tiếp của Conti với chính phủ Nga vẫn là mơ hồ, các hoạt động của băng nhóm tiếp tục tuân theo lợi ích quốc gia. “Ấn tượng từ những cuộc trò chuyện rò rỉ là lãnh đạo của Conti hiểu rằng họ được phép hoạt động miễn là họ tuân theo các hướng dẫn không nói của chính phủ Nga,” nói Allan Liska, một nhà phân tích của công ty an ninh Recorded Future. “Có vẻ như đã có ít nhất một số kênh liên lạc giữa chính phủ Nga và lãnh đạo Conti.”

Trong tháng 4 năm 2021, Mango, một quản lý chính của Conti giúp tổ chức nhóm, hỏi Professor: “Liệu chúng ta có làm về chính trị không?” Khi Professor yêu cầu thêm thông tin, Mango chia sẻ tin nhắn chat mà họ có với một người sử dụng biệt danh JohnyBoy77 - tất cả các thành viên trong băng đều sử dụng biệt danh để giúp che đậy danh tính của họ. Cặp đôi đang thảo luận về những người “chống lại Nga” và khả năng chặn ngừng thông tin về họ. JohnyBoy77 hỏi liệu các thành viên Conti có thể truy cập dữ liệu của ai đó liên quan đến Bellingcat, những nhà báo điều tra nguồn mở đã vạch trần hacker Nga và các mạng lưới sát thủ bí mật.

Đặc biệt, JohnyBoy77 muốn thông tin liên quan đến cuộc điều tra của Bellingcat về vụ đầu độc lãnh đạo phe đối lập Nga Alexey Navalny. Họ hỏi về các tệp của Bellingcat về Navalny, đề cập đến việc truy cập mật khẩu của một thành viên Bellingcat và nhắc đến FSB. Phản ứng trước các cuộc trò chuyện của Conti, Giám đốc điều hành của Bellingcat, Christo Grozevm, đăng trên Twitter rằng nhóm trước đây đã nhận được một gợi ý rằng FSB đã nói chuyện với một nhóm tội phạm mạng về việc hack các đóng góp của nó. “Ý là, chúng ta có là những người yêu nước hay không?” Mango hỏi Professor về những tệp tin. “Tất nhiên chúng ta là những người yêu nước,” họ trả lời.

Tinh thần yêu nước Nga là không đổi trong toàn bộ nhóm Conti, có nhiều thành viên của nhóm đặt cơ sở ở nước này. Tuy nhiên, nhóm này có quy mô quốc tế, có thành viên ở Ukraine và Belarus, và có liên kết với các thành viên ở xa hơn. Không phải tất cả thành viên của nhóm đều đồng ý với cuộc xâm lược của Nga vào Ukraine, và các thành viên đã thảo luận về chiến tranh. “Với sự toàn cầu hóa của nhóm ransomware này, chỉ vì lãnh đạo Conti hòa hợp tốt với chính trị Nga không có nghĩa là những thành viên liên kết cảm thấy giống nhau,” Liska nói. Trong một loạt các cuộc trò chuyện có từ tháng 8 năm 2021, Spoon và Mango nói chuyện về kinh nghiệm của họ tại Crimea. Nga xâm lược Crimea và thôn tính khu vực từ Ukraine vào năm 2014, một hành động mà các nhà lãnh đạo phương Tây nói rằng họ nên đã làm nhiều hơn để ngăn chặn. Khu vực đẹp, họ nói, nhưng Spoon không ghé thăm trong 10 năm. “Tôi sẽ phải đi kiểm tra vào năm sau,” Spoon nói. "Crimea của Nga.”

Trong khi các thành viên của nhóm đề cập đến lợi ích của Nga hoặc các cơ quan chính phủ, khả năng họ đang làm việc thay mặt cho quan chức là không có. Các thành viên cấp cao của Conti có thể có liên lạc, nhưng các lập trình viên và coder bình thường không có khả năng kết nối tốt như vậy. “Tôi nghĩ đó thực sự là một tập hợp hạn chế hơn của các bên tham gia có thể có những mối quan hệ trực tiếp đó, thay vì toàn bộ các hoạt động của nhóm,” Goody nói.

Kể từ khi các tệp nội bộ của Conti được xuất bản vào ngày 27 và 28 tháng 2, nhóm đã tiếp tục hoạt động. “Họ nhất định đã phản ứng,” nói Jérôme Segura, giám đốc tình báo đe dọa tại công ty an ninh Malwarebytes. “Bạn có thể thấy từ các cuộc trò chuyện rằng họ đã đóng một số thứ và chuyển sang các cuộc trò chuyện riêng tư. Nhưng thực sự là công việc như mọi khi.” Nhóm đã tiếp tục đăng tên và tệp tin của nạn nhân ransomware trên trang web của mình trong những tuần kể từ sau rò rỉ.

Conti vẫn tiếp tục hack mặc dù các nhà nghiên cứu an ninh sử dụng thông tin trong rò rỉ Conti có thể đặt tên cá nhân của nhóm. Tuy nhiên, mối đe dọa lớn hơn đối với nhóm có thể đến từ chính phủ Nga. Vào ngày 14 tháng 1, Nga đã thực hiện hành động quan trọng nhất của mình chống lại một nhóm ransomware. FSB đã bắt giữ 14 thành viên của nhóm REvil sau khi nhận được gợi ý từ các quan chức Mỹ, mặc dù nhóm này đã lâu không hoạt động. “Hành động sẽ được thực hiện nếu chính authorities Nga cảm thấy rằng lãnh đạo Conti đã vượt qua thời kỳ hữu ích của họ, nhưng nếu Conti có thể tiếp tục hoặc nếu họ có thể tái thương hiệu, có lẽ sẽ không có hành động,” Liska dự đoán. “Nếu có hành động, nó có thể tương tự như hành động được thực hiện đối với các thành viên của REvil, với một loạt các vụ bắt giữ ấn tượng, chỉ để phát hành một số lượng lớn những người bị bắt giữ vào khoảng một tháng sau đó một cách êm đẹp.”

Chưa rõ liệu các cơ authorities sẽ thực hiện những hành động tương tự đối với các thành viên của Conti hay không. Nhưng họ đã nổi loạn ngay trước khi thông tin của họ bị rò rỉ. Vào tháng 11 năm 2021, thành viên của Conti Kagas gửi một thông điệp xao lạc đến Stern. “Dường như chúng tôi đang bị theo dõi, vì có những chiếc xe không quen đứng trong sân, hai người ngồi trong xe,” họ viết. Kagas đề cập đến một vụ án tòa án và rằng họ sẽ ngừng làm việc cho đến khi nó kết thúc. “Luật sư nói rằng đến ngày 13 thì tốt hơn là ngồi im và không làm gì cả,” Kagas nói. “Sống cuộc sống bình thường. Và sau đó, chúng ta sẽ thấy điều gì xảy ra.”

Các câu hỏi thường gặp

Conti có mối liên hệ như thế nào với chính phủ Nga?

Có vẻ như lãnh đạo của Conti được phép hoạt động miễn là họ tuân thủ các hướng dẫn không chính thức của chính phủ Nga. Các cuộc trò chuyện rò rỉ cho thấy họ hiểu rõ điều này.

Có những bằng chứng nào chứng minh mối liên hệ giữa Conti và FSB?

Mặc dù không có bằng chứng rõ ràng, các tài liệu rò rỉ cho thấy Conti có thể có liên hệ với FSB, đặc biệt khi họ nhắc đến văn phòng của cơ quan này ở St. Petersburg.

Liệu Conti có tiếp tục hoạt động sau khi thông tin của họ bị rò rỉ không?

Có, Conti vẫn tiếp tục hoạt động và đăng tên nạn nhân ransomware trên trang web của họ ngay sau khi các tài liệu bị rò rỉ.

Mối quan hệ của Conti với các nhóm tội phạm mạng khác là gì?

Conti có mối liên hệ mật thiết với các nhóm tội phạm mạng khác như Cozy Bear, và đã thảo luận về các hoạt động tấn công chung nhằm vào mục tiêu quốc tế.

Conti có lập kế hoạch cho các cuộc tấn công vào thời điểm dịch Covid-19 không?

Có, các thành viên của Conti đã thảo luận về việc nhắm đến các mục tiêu liên quan đến vắc xin trong bối cảnh dịch Covid-19, cho thấy sự nhạy bén trong việc tận dụng tình hình.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]