Группа вымогателей заплатила цену за поддержку России

Сейчас, когда вторжение России в Украину идет уже пятый день, коалиция во главе с Соединенными Штатами и Европой сосредоточилась на едином ответе. Финансовые ограничения И все чаще военная помощь. В то время как конфликт становится все более масштабным и интенсивным, к нему привлекаются компании, не относящиеся к военному и государственному аппарату, в том числе группы вымогателей, действующие в России и Украине.

Это гравитационное притяжение особенно распространено в России, где границы между хакерами и российскими спецслужбами иногда прорываются, и, в частности, группа платит за свою верность путинскому режиму.

В пятницу печально известная банда вымогателей Конте удивила многих, открыто внеся свой вклад в военную программу Путина. Объявление о «полной поддержке» Угрозы начать атаки на жизненно важную инфраструктуру противников, осуществляющих кибератаки против российского правительства и России.

Двумя днями позже, 27 февраля, когда анонимный человек слил временное хранилище журналов чатов из компании, появление Кэнди раскрыло ранее нераскрытую информацию о внутренних операциях группы вымогателей.

Просочившиеся данные включают в себя записи чатов Jabber за год, службы обмена мгновенными сообщениями с открытым исходным кодом и, по крайней мере, прерывистые сообщения. 20 дескрипторов чата Считается членом банды. Среди прочего, эти записи подтверждают цепочку инстанций, связывающую Ганди с российскими спецслужбами. По словам Христо Грозева, управляющего директора Bellingcat, исследовательской группы с открытым исходным кодом, журналы чата показывают, что они являются членами Конте. Bellingcat попытался взломать автора По заказу ФСБ, главной службы внутренней безопасности России.

В прошлом Россию широко критиковали за укрывательство киберпреступников, за некоторыми исключениями, особенно широкой общественностью. Удаление хакерской группы REvil По ФСБ в январе — им часто разрешают действовать безнаказанно кроме атак на внутренние объекты. Но хотя в прошлом близость к российскому правительству была благом для киберпреступников, есть некоторые признаки того, что динамика украинского вторжения делает ее обузой.

Хотя личность утечки не разглашается, Алекс Холден, основатель украинской фирмы по кибербезопасности Holt Security, сказал, что записи были слиты украинским исследователем безопасности, который смог внедриться в банду Канди.

«Это гражданин Украины, законный исследователь кибербезопасности, делает это в рамках своей войны против киберпреступников, которые поддерживают российское вторжение», — сказал Холден. По словам Холдена, дальнейшие подробности утечки не могут быть обнародованы без угрозы его безопасности.

Зарегистрируйтесь тоже Отчеты Журналы чата содержали биткойн-адреса, оплаченные бандой Candy, и сообщения, описывающие переговоры между Candy и компаниями, которые не раскрыли инцидент с программой-вымогателем.

Аналитик по безопасности Фил Демиркоби опубликовал версию записей. Переведено на английский Подтверждено Google На краю Записи включают подробную информацию о технической инфраструктуре Канди, логистических операциях, обсуждениях уязвимостей нулевого дня и внутренних инструментах. По словам Демиркопи, учитывая короткий срок с момента выпуска записей, трудно оценить долгосрочное влияние, которое это окажет на команду.

Честер Вишневски, главный научный сотрудник Sophos, сказал, что, хотя считается, что многие из самых преуспевающих групп вымогателей связаны с Россией, на практике они включают в себя множество транснациональных компаний и представителей разных рас и национальностей. Поскольку международное мнение в подавляющем большинстве поддерживает Украину, многие из них, возможно, решили не участвовать в конфликте, а не заявлять о поддержке российского вторжения.

«Поляризация этого конфликта, который, кажется, весь мир эффективно настроен против России, гораздо меньше [cybercriminal] Вишневский сказал: «Я думаю, что среди членов этих разных групп есть много симпатий к Украине, и в результате они покидают ее».

Lockbit, еще одна группа вымогателей и конкурент Kandy, опубликовала заявление в воскресенье. Не нацелен на западную инфраструктуру, Якобы из-за международного состава организации. Вместо того, чтобы выразить какую-либо поддержку Украине, в заявлении провозглашается нейтралитет в конфликте.

«Для нас это просто бизнес, мы все аполитичны», — говорится в заявлении LockBit.

Несмотря на нежелание толпы вымогателей (кроме Ганди) забирать страницы, некоторые группы хактивистов — по определению политические — поспешили присоединиться к ним. Из Беларуси действует группа хактивистов Говорилось о нарушении движения воинских частей. После того, как белорусское правительство согласилось поддержать Россию, отправив войска к украинской границе после нанесения ракетных ударов по Украине, закрыв железные дороги в стране.

Кроме того, аккаунт в Твиттере, связанный с анонимностью, сообщил, что хакерский консорциум «официально ведет кибервойну против российского правительства» и что эта группа несет ответственность за многие вещи. DDoS-атаки и другие взломы Против российских государственных сайтов и каналов СМИ.

Хотя у других групп, обладающих возможностями хакерских атак, может возникнуть соблазн присоединиться к конфликту, эксперты по кибербезопасности Предупредил об увеличении. Какой бы ни была цель, кибератаки могут иметь непредвиденные последствия, особенно если цели связаны с инфраструктурой или другими жизненно важными службами с приложениями, не связанными с военными.

«Добрые люди, меня беспокоит совместное появление линчевателей», — сказал Вишневски. «Это просто стало известно нам тогда [cyber targets]Для меня это очень опасная ситуация… Это не просто невинное действие, когда не знаешь побочных эффектов.