Trois histoires ici la semaine dernière se sont penchées sur plusieurs années d’enregistrements de chat internes volés au Conti ransomware group, le gang de ransomware le plus rentable en activité aujourd’hui. Les messages francs ont révélé comment Conti avait échappé aux forces de l’ordre et aux agences de renseignement, à quoi ressemblait une journée typique au bureau de Conti et comment Conti avait sécurisé les armes numériques utilisées dans leurs attaques. Ce dernier article sur les conversations de Conti explore différents stratagèmes que Conti a poursuivis pour investir et voler des crypto-monnaies.
Lorsque vous êtes peut-être le groupe de rançongiciels le plus prospère du moment, Conti a gagné 180 millions de dollars l’année dernière en paiements d’extorsion, bien plus que tout autre groupe criminel, selon Analyse en chaîne – vous avez tendance à avoir beaucoup de monnaie numérique comme Bitcoin.
Cette richesse a permis à Conti de faire des choses que les investisseurs réguliers ne pouvaient pas, comme déplacer le prix des crypto-monnaies dans un sens ou dans l’autre. Ou construire une plate-forme de crypto-monnaie et la semer avec des tonnes de crypto mal acquises d’investisseurs fantômes.
One Conti top manager — bien nommé « Arrière« Parce qu’il a sans cesse aiguilleté les sous-fifres de Conti pour accomplir les tâches qui leur sont assignées, il était obsédé par l’idée de créer son propre schéma de chiffrement pour les applications de blockchain multiplateformes.
« Je suis accro en ce moment, je m’intéresse au trading, au défi, à la blockchain, aux nouveaux projets », a déclaré Stern « Coup de sang» le 3 novembre 2021. « Les grandes entreprises ont trop de secrets auxquels elles s’accrochent, pensant que c’est leur principale valeur, ces brevets et ces données.
Dans un fil de discussion qui a duré plusieurs mois dans la salle de discussion interne de Conti, Stern a déclaré que le plan était de créer leur propre univers crypto.
« Comme Netherium, Polkadot et la chaîne intelligente Binance, etc. », a écrit Stern. « Quelqu’un en sait-il plus là-dessus? Étudiez les systèmes, le code et les principes de travail ci-dessus. Pour construire le nôtre, où il sera déjà possible de brancher NFT, DEFI, DEX et toutes les nouvelles tendances qui sont et seront. Pour que d’autres créent leurs propres pièces, échanges et projets sur notre système.
Il semble que Stern ait payé plusieurs développeurs pour poursuivre l’idée de créer un système basé sur le peer-to-peer (P2P) pour les « contrats intelligents » – des programmes stockés sur une blockchain qui s’exécutent chaque fois que des conditions prédéterminées sont remplies.
On ne sait pas dans quel contexte le gang Conti s’est intéressé aux contrats intelligents, mais l’idée d’un groupe de rançongiciels insistant sur les paiements via des contrats intelligents n’est pas entièrement nouvelle. En 2020, des chercheurs de École des sciences et technologies de l’information de l’Université d’Athènes en Grèce montré (PDF) comment les offres de ransomware en tant que service pourraient un jour être exécutées via des contrats intelligents.
Avant ça, Jeffrey Ladishun consultant en sécurité de l’information basé à Oakland, en Californie, a écrit un analyse en deux parties pourquoi les contrats intelligents rendront les ransomwares plus rentables.
« En utilisant un contrat intelligent, un opérateur peut vendre en toute confiance à ses victimes une clé de déchiffrement contre de l’argent », a écrit Ladish. « C’est-à-dire qu’une victime peut envoyer de l’argent à un contrat intelligent avec la garantie qu’elle recevra soit la clé de déchiffrement de ses données, soit qu’elle récupérera son argent. La victime n’a pas à faire confiance à la personne qui a piraté son ordinateur car elle peut vérifier que le contrat intelligent gérera équitablement l’échange.
L’employé de Conti « Van” semble avoir pris les devants sur la plate-forme de cryptage P2P, qui, selon lui, était développée à l’aide du langage de programmation Rust.
« J’essaie de créer un réseau p2p à Rust », a déclaré Van à un collègue « Démon» le 19 février 2022. « Je fais le tri et j’ai déjà commencé à écrire du code.
« C’est cool que tu aimes Rust, » répondit Demon. « Je pense que cela nous aidera avec les contrats intelligents. »
Stern croyait apparemment tellement en ses rêves de cryptographie qu’il a parrainé un concours d’écriture d’articles de 100 000 $ sur le forum de cybercriminalité en langue russe Exploit, demandant aux candidats intéressés de proposer diverses idées de plateformes de cryptographie. Ces concours sont un moyen facile d’acheter de la propriété intellectuelle pour des projets en cours, et ce sont également des outils de recrutement efficaces pour les organisations cybercriminelles.
« Concours d’articles sur la crypto-monnaie ! [100.000$]», a écrit le responsable intermédiaire de Conti « Mango », au patron Stern, en copiant le titre du message sur le forum Exploit. « Qu’est-ce que tu fous là… »
Quelques jours plus tard, Mango rapporte à Stern qu’il a « tout préparé à la fois pour le réseau social et les articles pour les concours de cryptographie ».
DÉNI DISTRIBUÉ DE LA DISCORDE ?
Le 6 juin 2021, Conti sous-fifre «Bégémot” a lancé Stern sur un stratagème pour arnaquer un groupe de personnes exploitant des monnaies virtuelles, en lançant des attaques par déni de service distribué (DDoS) contre un pool de minage de crypto-monnaie.
« Nous trouvons de jeunes fourches sur les échanges (ceux qui peuvent être exploités), analysons leur infrastructure », a écrit Begemot.
Begemot poursuit :
« Où sont les serveurs, les nœuds, la capitalisation, etc. Trouvez un endroit où les détenteurs de crypto communiquent (discord, etc.). Découvrons l’adresse IP du nœud. Il s’agira très probablement d’IPv6. Nous commençons le dosage. Nous volons dans le chat que nous avons trouvé plus tôt et écrivons qu’il y a des problèmes, la crypte n’est pas affichée, les opérations ne sont pas effectuées (car la crypte dépend de l’exploitation minière, il y aura vraiment des problèmes ). Les détenteurs commencent à devenir nerveux et retirent le solde principal. La crypto baisse de prix. Nous achetons à bas prix. Nous publions ddos. La crypto grandit à nouveau. Nous gagnons. Ou une variante d’une lettre aux créateurs sur la possibilité d’une rançon s’ils veulent que les ddos se terminent. Parmi les principaux points problématiques, il s’agit de la mise en œuvre d’Ipv6 DDoS.
Stern répond que c’est une excellente idée et demande à Begemet d’expliquer comment identifier l’adresse IP de la cible.
JEUX DE CATALMAR
Il semble que Conti ait été impliqué dans « CALMAR», une nouvelle crypto-monnaie qui s’est avérée être une arnaque géante sur les réseaux sociaux qui a rapporté des millions de dollars aux fraudeurs. Le 31 octobre 2021, membre Conti «Fantôme» a envoyé un message à ses collègues qu’un gros programme de « pompe » pour gagner de l’argent allait démarrer dans 24 heures. Dans les escroqueries basées sur la cryptographie, les conspirateurs utilisent des informations trompeuses pour gonfler le prix d’une devise, après quoi ils la revendent à profit.
« Le grand jour est arrivé », a écrit Ghost. « Il reste 24 heures avant le plus gros signal de pompe de tous les temps ! L’objectif cette fois-ci sera d’environ 400 % de gains, peut-être même plus. Nous viserons un volume de 100 millions de dollars. Avec le marché haussier en plein effet et les volumes élevés, les chances d’atteindre 400% de profit seront à nouveau très élevées. Nous ferons tout ce qui est en notre pouvoir pour nous assurer d’atteindre cet objectif, si vous avez raté nos précédentes grosses pompes à succès, c’est aussi celle que vous ne voudrez pas manquer. Une pompe massive est sur le point de commencer dans seulement 24 heures, soyez prêt.
Le message de Ghost ne mentionne pas quelle plate-forme cryptographique serait ciblée par l’arnaque. Mais le timing s’aligne sur un pump-and-dump exécuté contre la crypto-monnaie SQUID (soi-disant inspirée de la populaire série Netflix sud-coréenne). SQUID a été proposé pour la première fois aux investisseurs le 20 octobre 2021.
Le site Web aujourd’hui disparu de l’arnaque à la crypto-monnaie SQUID.
Comme Gizmodo signalé pour la première fois le 1er novembre 2021juste avant l’escroquerie, SQUID se négociait à seulement un cent, mais en moins d’une semaine, son prix avait bondi à plus de 2 856 $.
Gizmodo a qualifié l’escroquerie de « tirage de tapis », qui se produit lorsque le promoteur d’un jeton numérique attire des acheteurs, arrête l’activité commerciale et s’enfuit avec l’argent récolté grâce aux ventes. Les développeurs de SQUID ont gagné environ 3,38 millions de dollars (2,48 millions de livres sterling).
« La pièce cryptographique SQUID a été lancée la semaine dernière et comprenait de nombreux drapeaux rouges, y compris un site Web vieux de trois semaines rempli d’orthographe et d’erreurs grammaticales bizarres », a déclaré Gizmodo. Matt Novak a écrit. « Le site Web, hébergé sur SquidGame.cash, a disparu, ainsi que toutes les autres présences sur les réseaux sociaux mises en place par les escrocs. »