Chatlogs ransomwarebende verschijnen online na uitspreken steun Rusland

Chatlogs van de ransomwarebende Conti zijn online verschenen, enkele dagen nadat de groep steun had uitgesproken voor Rusland in de oorlog met Oekraïne. De chatlogs komen vermoedelijk van een Oekraïense medewerker van de bende.

Beveiligingsbedrijf IntelligenceX heeft de chatlogs online gezet. Het gaat om logs vanaf 29 januari vorig jaar tot 27 februari van dit jaar. Het zijn logs van de interne Jabber-server van de Conti-groep, een bekende ransomwarebende, die afgelopen jaar onder meer toesloeg bij een Antwerps IT-bedrijf.

Een Oekraïense medewerker heeft de chatlogs naar diverse beveiligingsbedrijven gestuurd, meldt The Record. Dat gebeurde vermoedelijk omdat Conti steun had uitgesproken aan Rusland. Rusland viel Oekraïne vorige week binnen.

Het is nog onbekend welk beeld naar voren komt uit de chatlogs van de ransomwarebende. Het is voor zover bekend voor het eerst dat zoveel interne communicatie van een bekende ransomwaregroep openbaar online verschijnt.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 28-02-2022 07:08
30 • submitter: ajow

28-02-2022 • 07:08

30

Submitter: ajow

Lees meer

VS toont voor het eerst foto vermeend lid Conti-ransomwarebende
VS toont voor het eerst foto vermeend lid Conti-ransomwarebende Nieuws van 12 augustus 2022
'Conti-ransomwarebende splitst zich op en stopt met Conti-naam'
'Conti-ransomwarebende splitst zich op en stopt met Conti-naam' Nieuws van 20 mei 2022
Bij hack op woningcorporaties zaten ID-bewijzen en rekeninggegevens
Bij hack op woningcorporaties zaten ID-bewijzen en rekeninggegevens Nieuws van 6 april 2022
De positie van techgiganten in de oorlog om Oekraïne
De positie van techgiganten in de oorlog om Oekraïne Nieuws van 3 maart 2022
Centrum voor Cybersecurity België roept op Rusland niet online aan te vallen
Centrum voor Cybersecurity België roept op Rusland niet online aan te vallen Nieuws van 28 februari 2022
Rusland beperkt bereikbaarheid Twitter en Facebook
Rusland beperkt bereikbaarheid Twitter en Facebook Nieuws van 27 februari 2022
Elon Musk: Starlink-internet is nu beschikbaar in Oekraïne - update
Elon Musk: Starlink-internet is nu beschikbaar in Oekraïne - update Nieuws van 27 februari 2022
Nvidia onderzoekt cyberaanval op interne systemen
Nvidia onderzoekt cyberaanval op interne systemen Nieuws van 25 februari 2022
Verschillende Russische overheidssites onbereikbaar na ddos-aanvallen
Verschillende Russische overheidssites onbereikbaar na ddos-aanvallen Nieuws van 25 februari 2022
Chipmakers verwachten niet dat oorlog in Oekraïne tot extra tekorten zal leiden
Chipmakers verwachten niet dat oorlog in Oekraïne tot extra tekorten zal leiden Nieuws van 25 februari 2022
Meer producten en artikelen
Politiek en recht Oekraine Ransomware Rusland

Reacties (30)

-Moderatie-faq
30
28
19
0
0
6
Wijzig sortering

Sorteer op:

Weergave:
webside007 28 februari 2022 07:15
Goed zo, hopelijk kan de politie hier iets mee!
DigitalExorcist @webside00728 februari 2022 09:04
Euh welke politie?? Die van Rusland? Die zijn te druk met demonstranten op te pakken. De politie van Oekraïene? Die hebben wel wat beters te doen...
CivLord
@DigitalExorcist28 februari 2022 09:37
De Russische politie zal z'n schouders er over ophalen.
Maar misschien zitten er naast Russen en Oekraïners leden uit andere landen in de groep, waar ze wat minder happig op hackers zijn.
Daarnaast kan de chat een schat aan informatie opleveren over de werkwijze van de groep, de locatie van de servers. Misschien decryptiesleutels, etc.
kodak
@DigitalExorcist28 februari 2022 13:04
Het heet niet voor niets een ranswomwarebende. Meestal zijn er meer personen bij betrokken. En die hoeven niet perse in maar in twee landen te wonen of komen.

En het gaat bijvoorbeeld ook om weten over hoe een bende te werk is gegaan, wie er bij aangesloten zijn, welke bitcoin adressen ze gebruiken en mogelijk zelfs nog onbekende slachtoffers herkennen.
Finraziel @webside00728 februari 2022 08:06
"Hey Rusland, zouden jullie die hackers die tegen de lamp liepen omdat ze hun steun voor jullie uitspraken alsjeblieft uit willen leveren? Hoezo nee?! Je neemt ze liever in dienst om door te gaan het westen te destabiliseren?!"
(Insert surprised Pikachu face)
Honytawk @Finraziel28 februari 2022 09:28
Aangezien er toch precies 1 niet-Rus bij zit kunnen er ook nog wel andere zijn.
IngamerX @Honytawk28 februari 2022 10:30
Daarnaast, evt russen die opereren vanuit westerse landen..?
Dus idd
Feni @webside00728 februari 2022 10:01
Beter gezegd: hopelijk kunnen de AIVD en MIVD hier iets mee :P
Verwijderd 28 februari 2022 09:48
Er is sprake van een oorlogsgerelateerd lekken. Gewoon een onderdeel van de cyberoorlog. Zie geen vreemde aspecten van it security, die niet spelen in andere hacks. Veel valt er dan ook niet over te kletsen.
Als medestander van Oekeaine vind ik het een goede zaak.
Binnetie 28 februari 2022 09:49
Ik lees <balzak>, maar wat moet ik me van die tags voorstellen?
m_roeling 2 maart 2022 14:30
Mm heel veel bijzonders staat er ook niet in. Maak ff een nieuwe crypto portemonnee aan volgens een bepaalde standaard. O, en met spoed.

Verder niet gekeken naar de inhoud van de links overigens, maar in basis komt het hier op neer.
SlasZ 28 februari 2022 07:18
Verbazend dat een ransomware groep een cloud dienst van Microsoft gebruikt. Maken ze zich geen zorgen om meelezende Amerikaanse diensten?

Edit: in de war met Yammer :)

[Reactie gewijzigd door SlasZ op 29 juli 2024 05:25]

Croga @SlasZ28 februari 2022 07:21
Sinds wanneer is Jabber van Microsoft, laat staan een cloud dienst? Volgens mij is dit nog altijd gewoon een open XMPP protocol wat je lokaal op je eigen server draait.

Daarnaast draaien ze een lokale server. Voor een groep als deze lijkt het mij evident dat ze in staat zijn te monitoren wat er eventueel aan call-home functies in zou zitten.

[Reactie gewijzigd door Croga op 29 juli 2024 05:25]

Kaasje123 @Croga28 februari 2022 07:22
Waarschijnlijk in de war met yammer. :)
SlasZ @Kaasje12328 februari 2022 08:13
Ja inderdaad :)
cool_deepblue @Croga28 februari 2022 08:02
Jabber is inderdaad niet van Microsoft maar van Cisco, maar ik volg de redenering deels wel: het is Amerikaans.
Echter dat is niet noodzakelijk een probleem als het on-premise server met alle laatste nieuwe veiligheidspatches
N8w8 @cool_deepblue28 februari 2022 12:59
Als men t heeft over n "Jabber" server, dan bedoelt men meestal gewoon n server voor dat protocol, dat ook nog eens open is (XMPP).
Ik weet niet in hoeverre die Jabber naam van Cisco is of wat ze ermee te maken hebben, maar dat wil dus niet zeggen dat je iets met Cisco te maken hoeft te hebben.
In de praktijk draaien de meeste "Jabber" servers die ik tegenkom iig open source software zoals ejabberd.
Host je dat ook nog eens zelf dan heb je idd niks te maken met andere landen.
Desondanks zou het best kunnen dat zij Cisco software gebruiken, maar gezien de aard van zulke groepen zou ik daar niet vanuit gaan.
Cergorach @Croga28 februari 2022 11:35
Voor een groep als deze lijkt het mij evident dat ze in staat zijn te monitoren wat er eventueel aan call-home functies in zou zitten.
Is dat zo? Want kennelijk zijn ze niet in staat om te realiseren dat steun betuigen voor Rusland wel eens niet lekker zou vallen bij hun Oekrainse collegae (in dezelfde groep notabene)...
Fluttershy @SlasZ28 februari 2022 07:22
Jabber is volgens mij op basis van XMPP en hierin is end-to-end encryption gewoon goed mogelijk om in te regelen.

Microsoft had dus geen idee wat er over de lijn ging.
The Zep Man
@Fluttershy28 februari 2022 07:37
Jabber is volgens mij op basis van XMPP en hierin is end-to-end encryption gewoon goed mogelijk om in te regelen.
Waar je het hier dan ook fout ziet gaan is het gebrek aan (afgedwongen) end-to-end encryption, waardoor server-side alles gelogd kon worden zonder deelname aan gesprekken.

Het geldt zowel voor de criminele onderwereld als voor het gewone bedrijfsleven: Say it, forget it. Write it, regret it. Soms wil je juist niet weten of de mogelijkheid hebben om te weten wat er besproken was.
Croga @The Zep Man28 februari 2022 08:07
Waar je het hier dan ook fout ziet gaan is het gebrek aan (afgedwongen) end-to-end encryption, waardoor server-side alles gelogd kon worden zonder deelname aan gesprekken.
Jabber is een chat dienst, geen messaging dienst. End-to-end encryption betekend in dit geval dus dat er encryption is tussen server en client. Er is namelijk geen andere "end" dan de server.

gebruiker-gebruiker encryption is alleen mogelijk als een bericht slechts voor één andere gebruiker bedoelt is. Dat is hier niet het geval.

Let ook op dat de leak gedaan is door een lid van de groep. Die zou dus zowieso toegang moeten hebben tot de berichten, encrypted of niet.

Ofwel: Nee, er is hier geen fout gemaakt. Wat jij graag zou willen is simpelweg niet mogelijk zonder de gebruikers ook de toegang tot de berichten te ontnemen. En dat zou de dienst redelijk zinloos maken.
Fluttershy @Croga28 februari 2022 08:37
gebruiker-gebruiker encryption is alleen mogelijk als een bericht slechts voor één andere gebruiker bedoelt is. Dat is hier niet het geval.
e2e volgens mij dan nog steeds mogelijk maar dan moet de cliënt data encrypten en naar iedere individuele gebruiker in een groep versturen, in plaats van de server laten multicasten.

Let wel, dit zie ik niet terug in de XMPP specs en is louter discussie.
NielsFL @Croga28 februari 2022 10:02
De betere jabber apps ondersteunen OMEMO. Dat biedt end to end encryption, ook in groepen.

Maar goed, zoals je zegt, het nutteloos wanneer een groepslid zelf de boel gaat publiceren.
edeboeck @Croga28 februari 2022 11:19
[...]
gebruiker-gebruiker encryption is alleen mogelijk als een bericht slechts voor één andere gebruiker bedoelt is. Dat is hier niet het geval.
[...]
Dat E2E-encryption enkel mogelijk is bij 1-1 communicatie klopt niet. Wij hebben als project binnen het vak "security in computing" een E2E-encrypted variant op Slack moeten schrijven. Het is perfect mogelijk om te zorgen dat enkel wie deelneemt aan een kanaal een bericht kan lezen (zonder dat de server nota heeft van wat de inhoud van de berichten is; het enige dat de server in onze versie wist, was welke users (zonder daar specifieke personen op te kunnen plakken) samen in een kanaal zitten (zonder idee wat dat kanaal precies inhoudt)).
Als het mogelijk is als student om dit project uit te werken, is dat zeker het geval voor professionals.
SPee @Croga28 februari 2022 11:29
Er is wel een fout gemaakt die voorkomen had kunnen worden ;)
Dat gebeurde vermoedelijk omdat Conti steun had uitgesproken aan Rusland.
Verwijderd @The Zep Man28 februari 2022 07:53
Gelukkig had de groep niet uw wijsheid!
Paultje3181 @The Zep Man28 februari 2022 08:05
Ja, dit. Of de Oekraïense klokkenluider had het beheer over de server en had zo de sleutels.
The Zep Man
@Paultje318128 februari 2022 11:26
Bij end-to-end encryption heeft de centrale partij geen toegang tot sleutels. Die worden lokaal op clients gegenereerd en op veilige manieren met andere clients uitgewisseld. De server faciliteert alleen de verbinding, maar krijgt geen inzage.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq