Conti支持俄罗斯，乌克兰成员公布了其内部聊天记录

随着俄罗斯-乌克兰之间的战争持续升级，网络战争也成为双方发力的焦点，越来越多的黑客开始站队，并对对方的支持者发出相应的禁令和威胁。

例如2月25日，Conti 勒索组织就发出警告称，他们将利用所有资源“反击敌人的关键基础设施”来应对针对俄罗斯的网络攻击活动。

大约一个小时之后，Conti 勒索组织就改变了他们的警告，称自己“不与任何政府结盟，我们谴责正在进行的战争”，但将回应西方对俄罗斯关键基础设施的网络攻击。

就在Conti 勒索组织选择支持俄罗斯之后，一名乌克兰籍的成员泄露了6万多条Conti 勒索组织内部聊天的消息。该成员可以访问Conti勒索组织XMPP聊天服务器的“ejabberd 数据库”后端，网络安全公司Hold Security也确认了这一点。

过去一直在追踪Conti/TrickBot操作的AdvIntel首席执行官Vitali Kremez证实了这一消息的正确性，确认泄露的内部聊天记录真实有效，并表示这些消息是从勒索组织成员使用的Jabber通信系统的日志服务器中获取的。

消息内容包括从2021年1月21日至今的所有聊天记录，总共393个JSON文件，其中包含了60694 条消息。这些聊天记录包含有关该团伙活动的各种信息，涉及以前未报告的受害者、私人数据泄露 URL、比特币地址以及有关其操作的讨论。

例如，下面的对话是Conti成员想知道媒体如何得知他们在 12 月对 Shutterfly 的攻击。

Kremez 还分享了他发现的一段对话片段，讨论了TrickBot 操作是如何被关闭的。

还有关于 Conti/TrickBot 的 Diavol 勒索软件操作和包含1300万美元付款的 239 个比特币地址的对话，这些地址被添加到Ransomwhere 网站。

这些聊天记录的公布对于Conti勒索组织来说是一个严重的打击，也为安全人员和执法部门提供了有关其内部流程的敏感情报。虽然目前还只能看到一小部分记录，但是在未来几周内有望获得更多的信息。

俄罗斯入侵乌克兰导致黑客、勒索软件团伙和安全研究人员在冲突中选边站队。虽然一些勒索软件团伙站在俄罗斯一边，但其他勒索软件团伙，如 LockBit，则保持中立。

当然，乌克兰也没有束手待毙，而是要求志愿研究人员和黑客加入他们的“IT军队”，对俄罗斯目标进行网络攻击，许多人都响应号召。

而Conti勒索组织虽然被泄露了大量的内部聊天记录，但是很难就此一蹶不振，直至消失。相反，近段时间他们又接管了隐秘的 BazarBackdoor 恶意软件，逐渐成长为一个真正了网络犯罪集团，依旧会给全世界带来严重的网络攻击威胁，值得我们警惕。

参考来源

https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/