Một điều tra viên ẩn danh với bí danh GangExposed đã xác định danh tính và mô tả hoạt động chi tiết của các nhân vật cốt lõi trong nhóm ransomware Conti – từng được xem là tổ chức tấn công mạng nguy hiểm bậc nhất thế giới. Thông qua việc phân tích hàng nghìn đoạn hội thoại nội bộ, dữ liệu cá nhân, lịch trình di chuyển và hồ sơ tài chính bị rò rỉ, cuộc điều tra đã vạch trần cấu trúc tổ chức, cơ chế vận hành và danh tính thật của những cá nhân đứng sau các cuộc tấn công mạng có quy mô toàn cầu.
Cuối năm 2021, Conti thiết lập cơ sở hoạt động tại Dubai, tận dụng môi trường pháp lý không dẫn độ để xây dựng hạ tầng mạng độc lập. Tại đây, nhóm đã triển khai văn phòng thật, lắp đặt hệ thống máy chủ và tiến hành nhiều chiến dịch tấn công ransomware quy mô lớn nhắm vào các mục tiêu tại Trung Đông, Trung Quốc và phương Tây.
Chỉ trong vòng 6 tuần, từ tháng 10 đến tháng 11/2021, Conti đã thực hiện hàng chục cuộc tấn công, với đỉnh điểm là 13 vụ tấn công trong một ngày. Thông tin thu thập được từ các nền tảng chat nội bộ như Jabber, RocketChat, Matrix, và Telegram làm sáng tỏ vai trò cụ thể của từng cá nhân trong mạng lưới:
-
Vladimir Viktorovich Kvitko aka “Professor” – điều phối chiến dịch, quản lý hạ tầng kỹ thuật.
-
Arkady Valentinovich Bondarenko (“Negotiator”) – người trực tiếp thương lượng với nạn nhân và xử lý dòng tiền chuộc. Sở hữu hai quốc tịch Nga–Canada, có dấu hiệu vận hành cơ chế rửa tiền qua các sàn giao dịch như Suex.
-
Andrey Yuryevich Zhuykov (“Defender”) – kỹ sư hệ thống chủ lực, chịu trách nhiệm giám sát bảo mật nội bộ. Mặc dù đóng vai trò trọng yếu trong kỹ thuật, ông ta đang đối mặt với các khoản nợ cá nhân nghiêm trọng và tranh chấp pháp lý.
-
“Target” – thủ lĩnh nhóm, hiện vẫn chưa xác định danh tính rõ ràng. Được cho là có liên hệ với cơ quan an ninh Nga (FSB), người này chỉ đạo các chiến dịch tấn công quy mô lớn, bao gồm cả vụ tấn công 428 bệnh viện Mỹ trong giai đoạn đại dịch COVID-19 – hành vi được FBI đánh giá là “phi nhân đạo”, và đã treo thưởng 10 triệu USD cho bất kỳ thông tin nào giúp xác định vị trí.
GangExposed đã công bố hàng loạt tập tin chứa thông tin chi tiết: từ log trò chuyện nội bộ, địa chỉ ví tiền mã hóa, tài liệu nội bộ, đến mô hình tài chính của nhóm. Một số tài liệu cho thấy nhóm đã từng treo thưởng lên tới 4 triệu USD chỉ để tìm ra kẻ đã xâm nhập Telegram và phát tán dữ liệu.
Các tài liệu bị rò rỉ vạch trần một cách vận hành gần như “doanh nghiệp hóa” của nhóm Conti: có phòng IT riêng, bộ phận thương lượng, cấu trúc lương thưởng, hệ thống giám sát hiệu suất làm việc, và quy trình rửa tiền được điều phối xuyên biên giới.
