2025 年 5 月 31 日,匿名举报人 GangExpose 曝光了 Conti 和 Trickbot 勒索软件组织的关键成员。
5 月 5 日开通 Telegram 频道后,德国警方确认 Trickbot 和 Conti 领导人斯特恩为 36 岁的俄罗斯人维塔利·尼古拉耶维奇·科瓦列夫 (Vitaly Nikolaevich Kovalev)。
几天后,代号“教授”的 39 岁俄罗斯人弗拉基米尔·维克托罗维奇·科维科 (Vladimir Viktorovich Kvitko) 的身份也被确认。
科维科和他的同事于 2020 年从莫斯科搬到迪拜,继续从阿拉伯联合酋长国的基地攻击西方组织。
美国政府悬赏高达 1000 万美元,征集包括教授和塔吉特在内的五名关键特工的信息。
GangExposes周四发布了15张照片,以及首席系统管理员Defender(Andrey Yuryevich Zhuykov)和高级经理Mango(Mikhail Mikhailovich Tsaryov)的详细信息。
Technisanct 创始人 Nandakishore Harikumar 表示 GangExpose 可能是该组织的前成员或不满分子。
从: 
神秘泄密者团伙在大规模勒索软件数据转储中揭露了 Conti 的头目
【编辑部评论】
GangExpose 的大规模泄密事件是网络犯罪组织内部运作被曝光的极为罕见的案例。德国联邦刑事警察局(BKA)于2025年5月30日正式确认了斯特恩(维塔利·尼古拉耶维奇·科瓦列夫饰)的身份,确认了GangExposed信息的真实性。
此次泄密的最大意义在于突破了传统网络犯罪调查的局限性。勒索软件组织通常通过先进的匿名技术和地理分散来逃避执法跟踪。然而,由于内部的详细信息,GangExpose 能够消除这些障碍。
特别值得注意的是,孔蒂组织利用阿拉伯联合酋长国作为“避风港”的消息。尽管阿联酋传统上被认为是一个没有网络犯罪引渡协议的地区,但实际犯罪活动的证据可能会导致国际执法合作的新框架。
然而,这次泄漏也有复杂的方面。对于GangExpose的身份和动机,安全专家指出了“前成员举报”的可能性。根据Technisanct的分析,由于访问级别和内部信息的水平,有很多因素无法通过完整的外部调查来解释。
从技术角度来看,这次泄露展示了 OSINT(开源情报)技术的演变。 GangExposes 通过结合语言分析(文体学)和心理学方法来识别个人的方法将为未来的网络犯罪调查树立新的基准。
然而,此类方法的扩散是一把双刃剑。人们越来越担心恶意第三方可能会使用类似的技术来针对不相关的个人和侵犯隐私。
从长远来看,这次泄漏可能会促使勒索软件即服务 (RaaS) 模型发生根本性变化。 Conti 解散后分拆出来的几个组织(Royal、Black Basta、BlackCat 等)将被迫实施更严格的运营安全措施。
此外,随着区块链生活论坛的披露,预计监管机构将能够进一步监控依赖加密货币匿名性的洗钱计划。相信这将对健康的加密货币生态系统的发展产生积极影响。
【术语解释】
勒索软件即服务 (RaaS)
一种商业模式,开发勒索软件的组织向其他网络犯罪分子提供软件和基础设施。与传统的软件服务类似,它按月收费和收入分成。
双重勒索(双重勒索)
这种技术不仅可以加密文件,还可以窃取敏感数据并威胁要泄露这些数据。受害者被要求支付赎金以用于解密和防止信息泄露。
OSINT(开源情报)
从公开来源收集情报并进行分析。一种从社交媒体、企业网站、新闻文章等收集目标详细信息的方法。
文体论(Stylometry)
一种通过分析文本的统计特征来识别作者的语言方法。根据单词选择、句子长度、标点符号模式等来识别个人。
欺骗机器人
2016 年出现的木马,旨在窃取银行信息。后来它演变成一个用于分发 Conti 勒索软件的恶意软件平台。
FSB边境管制数据库
由俄罗斯联邦安全局 (FSB) 管理的移民记录数据库。有消息称 GangExpose 在暗网上以 25 万美元的价格购买了它。
[参考链接]
CISA – 勒索软件防护指南(外部)
来自美国网络安全和基础设施安全局的官方勒索软件对策信息
FBI——网络犯罪报告中心(外部)
由联邦调查局运营的网络犯罪报告网站。提供勒索软件损害报告和最新威胁信息
欧洲刑警组织 – 网络犯罪预防中心(外部)
欧洲刑警组织网络犯罪部门。有关追踪和打击国际网络犯罪组织的信息
MITRE ATT&CK – 勒索软件策略(外部)
网络安全领域广泛使用的MITRE ATT&CK框架勒索软件战术讲解
[编者后记]
GangExpose 的这次泄密事件颠覆了网络安全界的传统观念。您认为这种举报会给未来的勒索软件对策带来什么样的变化?另外,您对匿名研究人员使用的技术(例如 OSINT 方法和文体分析)有哪些可能性或担忧?请在社交媒体上告诉我们您的意见。我期待与您合作,思考打击网络犯罪的新方面。
[参考文章]
Conti 泄密事件揭示了勒索软件最黑暗的秘密 – Mimecast
一篇文章对2022年Conti泄漏事件进行了详细分析。它全面分析了勒索软件即服务(RaaS)模式的内部运作,解释了组织结构、薪酬结构和内部沟通。
心怀不满的勒索软件附属公司泄露了 Conti 团伙的技术手册 – The Record
一篇报道心怀不满的康迪官员泄露技术手册的文章。它详细介绍了攻击技术、工具使用和网络渗透技术,揭示了网络犯罪组织的实际运作方式。
勒索软件团伙泄漏显示被盗密码和 2FA 代码驱动攻击 – 福布斯
一篇分析 Black Basta 勒索软件组织内部聊天日志泄露的文章。它详细解释了Conti解散后派生组织的活动,以及使用窃取的身份验证信息的攻击方法。