CONTI Ransomware Grubu Sızıntıları

CONTI Ransomware Grubu Sızıntıları

10/03/2022

Conti Ransomware grubu, 25 Şubat Cuma günü Rusya-Ukrayna arasındaki savaşta Rusya’yı desteklediğini duyurmuştu. Ardından diğer ülkeler tarafından Rusya’ya yapılacak herhangi bir siber saldırıda bu ülkelerde kritik altyapıları hedef alacaklarını açıklamışlardı.

Açıklamaların ardından Conti Ransomware grubunun Ukrayna destekçisi olduğu düşünülen bir üyesi tarafından 27 Şubat 2022 tarihinde @ContiLeaks twitter hesabı üzerinden Conti grubuna ait Jabber anlık mesajlaşmaları yayınlanmaya başladı. Yayınlananlara göre Conti’nin hedef aldığı kurbanlarına ait çok sayıda verinin açığa çıktı görüldü. ContiLeaks, birkaç yıla yayılan sohbet ve forum mesajlarını, grup içi kullanılan dokümanları, kaynak kodları 2 gün boyunca yayınlamaya devam etti.

Geçmişte Conti Fidye çetesiyle etkileşime giren Recorded Future tehdit istihbarat analisti olan Dmitry Smilyanets, sızdırılan konuşmaların gerçekliğini doğruladı.

Şu ana kadar tespit edilen sızdırılan mesajların içerikleri arasında şunlar yer alıyor:

Conti'nin, TrickBot ve Emotet zararlı yazılım çeteleriyle ilişkisini gösteren mesajlar.

TrickBot botnetinin bu ayın başlarında kapandığını doğrulayan mesajlar.

Bir ihlal veya fidye yazılımı olayını ifşa etmeyen şirketlerle ilgili fidye görüşmeleri ve ödeme bilgilerini gösteren mesajlar.

Conti çetesinin ödemeleri aldığı Bitcoin adresleri

CONTI RANSOMWARE

İlk olarak Aralık 2019'da gözlemlenen Conti, TrickBot aracılığıyla dağıtılan bir “as a service” fidye yazılımıdır. Conti grubu, hedef sistemlerden elde ettiği verileri sitede yayınlamadan önce veriler için bir alıcı bulmaya çalışmakta ve veri sızıntılarını “Conti.News” isimli site üzerinden yayınlamaktadır.

Özellikle Kuzey Amerika'daki büyük şirketlere ve devlet kurumlarına karşı kullanılan Conti saldırılarının, ulus devlet saldırılarında görülen taktiklere benzediğine inanılıyor.

Grup, FBI ve CIA'nın hassas verileri çalmayı amaçlayan 400'den fazla Conti fidye yazılımı saldırısı uyarısı yayınlamasıyla özellikle son zamanlarda aktif hale geldi.

https://www.techtarget.com/searchsecurity/news/252514047/Conti-ransomware-source-code-documentation-leaked

https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/

https://therecord.media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/

https://www.inside-it.ch/chat-leaks-geben-einblick-in-die-struktur-der-conti-cyberkriminellen

https://cybernews.com/news/conti-leaks-pro-ukrainian-member-exposed-more-gangs-chats-and-trickbots-source-code/

https://attack.mitre.org/software/S0575/

IoC’ler

IoC’lerin tamamına aşağıdaki butonu tıklayarak erişebilirsiniz.

Belgeyi İndir