Hakerzy z grupy NB65 wykorzystują ransomware Conti do ataków na rosyjskie firmy

Grupa hakerów o nazwie NB65 wykorzystała kod źródłowy ransomware Conti, do stworzenia własnego oprogramowania, które stosuje w cyberatakach przeciwko rosyjskim firmom i organizacjom.

Chociaż często słyszy się o tego typu atakach, których celem są duże amerykańskie i europejskie podmioty, rzadko słyszymy o takich na rosyjskie firmy. Wynika to z tego, że wiele z grup cyberprzestępców działa z terenu tego kraju i panuje przekonanie, że jeśli nie będą atakować rosyjskich interesów, to organy ścigania będą przymykać oko na ataki na inne państwa.

Jendak teraz mamy sytuację całkowicie odmienną. Grupa znana jako NB65 bez pardonu atakuje cele na rosyjskiej ziemi i robi to naprawdę skutecznie. W swoich działaniach wykorzystuje kod źródłowy ransomware Conti, który jakiś czas temu opublikował w sieci ukraiński specjalista od zabezpieczeń. Wśród rosyjskich podmiotów, które miały zostać zaatakowane przez grupę NB65 znajdują się m.in. Tensor – producent oprogramowania СБИС, które służy do zarządzania dokumentami, rosyjska agencja kosmiczna Roscosmos, firma budująca gazociągi i ropociągi Gazregion oraz VGTRK (ВГТРК – Wszechrosyjska Państwowa Kompania Telewizyjna i Radiowa), nadawca telewizyjny i radiowy. Ten ostatni cel był szczególnie istotny, ponieważ doprowadził do wykradzenia 786,2 GB danych, w tym 900 tys. wiadomości e-mail i 4 tys. plików, które grupa opublikowała w witrynie DDoS Secrets.

NB65 Tensor ransomware

NB65 winą za atak obarcza Putina

Co czyni tę sytuację jeszcze bardziej interesującą, to fakt, że grupa stworzyła swoje oprogramowanie przy użyciu kodu źródłowego pochodzącego właśnie z Rosji. Prawie wszystkie programy antywirusowe rozpoznają ten program w próbce pochodzącej z ataków przeprowadzanych przez grupę NB65, więc kwestia pochodzenia jest dość oczywista. Podejrzenia potwierdza też serwis Intezer Analyze – aż 66% kodu jest zgodne z ransomware Conti.

Ransomware tworzy również notatki z żądaniem okupu o nazwie R3ADM3.txt na całym zaszyfrowanym urządzeniu, a grupa obarcza winą za cyberatak prezydenta Władimira Putina i inwazję na Ukrainę.

Bardzo uważnie obserwujemy sytuację. Wasz prezydent nie powinien był popełniać zbrodni wojennych. Jeśli szukasz kogoś, kogo możesz obwinić za swoją obecną sytuację, szukaj Władimira Putina – czytamy w nocie ransomware NB65.

Zdjęcie
Nota ransomware pozostawiona na komputerach rosyjskiego VGTRK / Źródło: Twitter

Przedstawiciel grupy hakerskiej NB65 powiedział serwisowi BleepingComputer, że oparli oni swój szyfrator na pierwszym wycieku kodu źródłowego Conti, ale zmodyfikowali go dla każdej ofiary tak, aby istniejące deszyfratory nie działały.

Został on zmodyfikowany w taki sposób, że wszystkie wersje deszyfratora Conti nie będą działać. Każde wdrożenie generuje losowy klucz w oparciu o kilka zmiennych, które są inne dla każdego celu – informuje grupa NB65.

Zdjęcie
Nota ransomware pozostawiona na komputerach firmy Gazregion / Źródło: Twitter

Grupa NB65 wprost informuje, co jest powodem jej działań:

Po Buczy postanowiliśmy obrać za cel pewne firmy, które mogą być własnością cywilną, ale mimo to mogą mieć wpływ na zdolność Rosji do normalnego funkcjonowania. Rosyjskie poparcie społeczne dla zbrodni wojennych Putina jest przytłaczające. Od samego początku mówiliśmy jasno. Wspieramy Ukrainę. Dotrzymamy danego słowa. Kiedy Rosja zaprzestanie wszelkich działań wojennych na Ukrainie i zakończy tę niedorzeczną wojnę, NB65 przestanie atakować rosyjskie zasoby internetowe i firmy.

Do tego czasu je^%$ ich.

Nie będziemy uderzać w żadne cele poza Rosją. Grupy takie jak Conti i Sandworm, wraz z innymi rosyjskimi APT, od lat atakują Zachód za pomocą oprogramowania ransomware, uderzeń w łańcuch dostaw (Solarwinds lub kontrahenci z branży obronnej)… Uznaliśmy, że nadszedł czas, aby sami się tym zajęli.

Źródło: BleepingComputer

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x