Daily Archives: March 7, 2022

Conti Ransomware Group Diaries, Part IV: Cryptocrime

Posted on by

Three stories here last week pored over several years’ worth of internal chat records stolen from the Conti ransomware group, the most profitable ransomware gang in operation today. The candid messages revealed how Conti evaded law enforcement and intelligence agencies, what it was like on a typical day at the Conti office, and how Conti secured the digital weaponry used in their attacks. This final post on the Conti conversations explores different schemes that Conti pursued to invest in and steal cryptocurrencies.

When you’re perhaps the most successful ransomware group around — Conti made $180 million last year in extortion payments, well more than any other crime group, according to Chainalysis — you tend to have a lot digital currency like Bitcoin.

This wealth allowed Conti to do things that regular investors couldn’t — such as moving the price of cryptocurrencies in one direction or the other. Or building a cryptocurrency platform and seeding it with loads of ill-gotten crypto from phantom investors.

One Conti top manager — aptly-named “Stern” because he incessantly needled Conti underlings to complete their assigned tasks — was obsessed with the idea of creating his own crypto scheme for cross-platform blockchain applications.

“I’m addicted right now, I’m interested in trading, defi, blockchain, new projects,” Stern told “Bloodrush” on Nov. 3, 2021. “Big companies have too many secrets that they hold on to, thinking that this is their main value, these patents and data.”

In a discussion thread that spanned many months in Conti’s internal chat room, Stern said the plan was to create their own crypto universe.

“Like Netherium, Polkadot and Binance smart chain, etc.,” Stern wrote. “Does anyone know more about this? Study the above systems, code, principles of work. To build our own, where it will already be possible to plug in NFT, DEFI, DEX and all the new trends that are and will be. For others to create their own coins, exchanges and projects on our system.”

It appears that Stern has been paying multiple developers to pursue the notion of building a peer-to-peer (P2P) based system for “smart contracts” — programs stored on a blockchain that run whenever predetermined conditions are met.

It’s unclear under what context the Conti gang was interested in smart contracts, but the idea of a ransomware group insisting on payments via smart contracts is not entirely new. In 2020, researchers from Athens University School of Information Sciences and Technology in Greece showed (PDF) how ransomware-as-a-service offerings might one day be executed through smart contracts.

Before that, Jeffrey Ladish, an information security consultant based in Oakland, Calif., penned a two-part analysis on why smart contracts will make ransomware more profitable.

“By using a smart contract, an operator can trustlessly sell their victims a decryption key for money,” Ladish wrote. “That is, a victim can send some money to a smart contract with a guarantee that they will either receive the decryption key to their data or get their money back. The victim does not have to trust the person who hacked their computer because they can verify that the smart contract will fairly handle the exchange.”

The Conti employee “Van” appears to have taken the lead on the P2P crypto platform, which he said was being developed using the Rust programming language.

“I am trying to make a p2p network in Rust,” Van told a co-worker “Demon” on Feb. 19, 2022. “I’m sorting it out and have already started writing code.”

“It’s cool you like Rust,” Demon replied. “I think it will help us with smart contracts.”

Stern apparently believed in his crypto dreams so much that he sponsored a $100,000 article writing contest on the Russian language cybercrime forum Exploit, asking interested applicants to put forth various ideas for crypto platforms. Such contests are an easy way to buy intellectual property for ongoing projects, and they’re also effective recruiting tools for cybercriminal organizations.

“Cryptocurrency article contest! [100.000$],” wrote mid-level Conti manager “Mango,” to boss Stern, copying the title of the post on the Exploit forum. “What the hell are you doing there…”

A few days later Mango reports to Stern that he has “prepared everything for both the social network and articles for crypto contests.”

DISTRIBUTED DENIAL OF DISCORD?

On June 6, 2021, Conti underling “Begemot” pitched Stern on a scheme to rip off a bunch of people mining virtual currencies, by launching distributed denial-of-service (DDoS) attacks against a cryptocurrency mining pool.

“We find young forks on exchanges (those that can be mined), analyze their infrastructure,” Begemot wrote.

Begemot continues:

“Where are the servers, nodes, capitalization, etc. Find a place where crypto holders communicate (discord, etc. ). Let’s find out the IP of the node. Most likely it will be IPv6. We start ddosing. We fly into the chat that we found earlier and write that there are problems, the crypt is not displayed, operations are not carried out (because the crypt depends on mining, there will really be problems ). Holders start to get nervous and withdraw the main balance. Crypto falls in price. We buy at a low price. We release ddos. Crypto grows again. We gain. Or a variant of a letter to the creators about the possibility of a ransom if they want the ddos ​​to end. From the main problem points, this is the implementation of Ipv6 DDoS.”

Stern replies that this is an excellent idea, and asks Begemet to explain how to identify the IP address of the target.

SQUID GAMES

It appears Conti was involved in “SQUID,” a new cryptocurrency which turned out to be a giant social media scam that netted the fraudsters millions of dollars. On Oct. 31, 2021, Conti member “Ghost” sent a message to his colleagues that a big “pump” moneymaking scheme would be kicking off in 24 hours. In crypto-based pump-and-dump scams, the conspirators use misleading information to inflate the price of a currency, after which they sell it at a profit.

“The big day has arrived,” Ghost wrote. “24 hours remaining until the biggest pump signal of all time! The target this time will be around 400% gains possibly even more. We will be targeting 100 million $ volume. With the bull market being in full effect and volumes being high, the odds of reaching 400% profit will be very high once again. We will do everything in our power to make sure we reach this target, if you have missed our previous big successful pumps, this is also the one you will not want to miss. A massive pump is about to begin in only 24 hours, be prepared.”

Ghost’s message doesn’t mention which crypto platform would be targeted by the scam. But the timing aligns with a pump-and-dump executed against the SQUID cryptocurrency (supposedly inspired by the popular South Korean Netflix series). SQUID was first offered to investors on Oct. 20, 2021.

The now-defunct website for the cryptocurrency scam SQUID.

As Gizmodo first reported on Nov. 1, 2021, just prior to the scam SQUID was trading at just one cent, but in less than a week its price had jumped to over $2,856.

Gizmodo referred to the scam as a “rug pull,” which happens when the promoter of a digital token draws in buyers, stops trading activity and makes off with the money raised from sales. SQUID’s developers made off with an estimated $3.38 million (£2.48m).

“The SQUID crypto coin was launched just last week and included plenty of red flags, including a three-week old website filled with bizarre spelling and grammatical errors,” Gizmodo’s Matt Novak wrote. “The website, hosted at SquidGame.cash, has disappeared, along with every other social media presence set up by the scammers.”

from Krebs on Security https://ift.tt/2yBsqfZ
via IFTTT

Ya fue liberada la nueva versión de Budgie 10.6 

Posted on by

Se acaba de dar a conocer la liberación de la nueva versión de escritorio Budgie 10.6, que se posiciona como la primera versión desde la decisión de desarrollar el proyecto independientemente de la distribución Solus.

El proyecto ahora está llevado por la organización independiente Buddies Of Budgie. Budgie 10.6 continúa basándose en tecnologías GNOME y su propia implementación de GNOME Shell, pero la rama Budgie 11 está programada para migrar al conjunto de bibliotecas Enlightenment Foundation Library ( EFL ) desarrollado por el proyecto Enlightenment.

Para quienes desconocen del escritorio Budgie, deben saber que se basa en tecnologías GNOME, pero utiliza sus propias implementaciones de GNOME Shell, panel, applets y sistema de notificación. Para administrar las ventanas, Budgie usa Budgie Window Manager (BWM), que es una modificación avanzada del complemento base de Mutter.

Budgie se basa en un panel que es similar en la organización del trabajo a los paneles de escritorio clásicos. Todos los elementos del panel son applets, lo que le permite personalizar de manera flexible la composición, cambiar la ubicación y reemplazar la implementación de los elementos del panel principal a su gusto.

Los subprogramas disponibles incluyen el menú de aplicaciones clásico, sistema de cambio de tareas, un área con una lista de ventanas abiertas, visualización de escritorios virtuales, un indicador de administración de energía, un subprograma de control de volumen, un indicador de estado del sistema y un reloj.

Principales novedades de Budgie 10.6

En esta nueva versión se ha revisado el posicionamiento del proyecto: en lugar del producto final, Budgie ahora se presenta como una plataforma en la que las distribuciones y los usuarios pueden crear soluciones adaptadas a sus propias preferencias. Por ejemplo, se proporciona la posibilidad de elegir el diseño, un conjunto de aplicaciones y un estilo de escritorio.

Desde el punto de vista organizativo, se ha trabajado para eliminar la separación entre la organización de desarrollo real y los proyectos posteriores como Ubuntu Budgie, que crean productos finales basados ​​en Budgie. Dichos proyectos posteriores tienen más oportunidades de participar en el desarrollo de Budgie.

Para facilitar la creación de sus propias soluciones basadas en Budgie, la base de código se divide en varios componentes, que ahora se envían por separado:

Budgie Desktop es directamente una interfaz de usuario.
Budgie Desktop View : un conjunto de iconos de escritorio.
Budgie Control Center es un configurador derivado del Centro de control de GNOME.

Tambien se destaca que se reescribió el código para rastrear la actividad de la aplicación y se mejoró el subprograma Icon Tasklist, que proporciona una lista de tareas activas. Se agregó soporte para la agrupación de aplicaciones. Se resolvió un problema con la eliminación de aplicaciones válidas con un tipo de ventana atípico, por ejemplo, algunos programas de KDE como Spectacle y KColorChooser no se mostraban anteriormente en la lista.

El tema se ha rediseñado para unificar la apariencia de todos los componentes de Budgie. Los bordes de los diálogos, el relleno y la combinación de colores se unificaron, se redujo el uso de transparencias y sombras y se mejoró la compatibilidad con temas GTK.

Ademas de ello se ha reescrito el sistema para mostrar notificaciones, que se separa del applet de Raven, que ahora es responsable solo de mostrar la barra lateral. El sistema de notificaciones ahora se puede usar no solo en Raven, sino también en otros componentes de escritorio, por ejemplo, está previsto organizar una lista de notificaciones en el área de tareas (Icon Tasklist).

De los demás cambios que se destacan de esta nueva versión:

  • Seguimiento mejorado de notificaciones recientes y pausa de notificaciones.
  • El administrador de ventanas elimina las llamadas innecesarias que hacen que el contenido se redibuje.
  • GTK.Stack se utiliza para mostrar ventanas emergentes.
  • La barra de tareas se ha modernizado y se ha mejorado la configuración del tamaño del panel.
  • Se han mejorado los widgets colocados en el panel para mostrar la carga de la batería y mostrar el reloj.
  • Se modificó la configuración predeterminada del panel para reducir la discrepancia entre la ubicación del panel y los widgets que se muestran en las distribuciones.
  • Soporte devuelto para GNOME 40 y Ubuntu LTS.
  • Para trabajar con las traducciones se utiliza el servicio Transifex en lugar de Weblate.

Finalmente, si estás interesado en conocer más al respecto sobre esta nueva versión del entorno, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/Nsq8VDe
via IFTTT

Ya fue liberada la versión beta de Arti, el proyecto para reescribir Tor en Rust

Posted on by

Hace algunos meses comentábamos aquí en el blog sobre las intenciones de los desarrolladores del proyecto Tor sobre Rust, ya que durante los últimos años muchos proyectos importantes de codigo abierto han volteado a ver a este lenguaje de programación y con el paso del tiempo ha comenzado a ganar bastante relevancia.

Y ahora, tal y como comentábamos sobre los desarrolladores de la red anónima Tor, estos dieron a conocer mediante una publicación de blog el lanzamiento de la primera versión beta 0.1.0 del proyecto Arti que desarrolla un cliente Tor escrito en Rust.

Sobre Arti

Para quienes desconocen de este proyecto, les puedo decir que a diferencia de la implementación de C, que se diseñó originalmente como un proxy SOCKS y luego se adaptó a otras necesidades, Arti se desarrolló inicialmente como una biblioteca de complementos modulares que pueden usar varias aplicaciones.

Además, al desarrollar un nuevo proyecto, se tiene en cuenta toda la experiencia pasada de desarrollo de Tor, lo que evitará problemas de arquitectura conocidos y hará que el proyecto sea más modular y eficiente. El código se distribuye bajo las licencias Apache 2.0 y MIT.

Las razones para reescribir Tor en Rust son el deseo de lograr un mayor nivel de seguridad del código mediante el uso de un lenguaje seguro para la memoria. Según los desarrolladores de Tor, al menos la mitad de todas las vulnerabilidades rastreadas por el proyecto se eliminarán en la implementación de Rust si el código no usa bloques «inseguros».

Rust también permitirá lograr una velocidad de desarrollo más rápida que con C, debido a la expresividad del lenguaje y las sólidas garantías que le permiten no perder el tiempo en verificaciones dobles y escribir código innecesario.

Principales novedades de Arti 0.1.0

De los cambios en la versión 0.1.0, hay una estabilización básica de las API de alto nivel y la preparación de la biblioteca para la integración experimental con otros proyectos.

De los cambios, se menciona la adición de una API para crear instancias de TorClient, incluida la capacidad de compilar e inicializar (bootstrap) en segundo plano en el primer uso. Además, se ha agregado una nueva API de alto nivel para el manejo de errores.

Hoy, hemos alcanzado nuestro hito 0.1.0: esto significa que ahora consideramos que las API de alto nivel de Arti son «en su mayoría estables» y están listas para la integración experimental en otros proyectos. (No prometemos ninguna ruptura de API, pero no rompemos nuestras API de alto nivel sin una buena razón). El hito 1.0.0, programado para septiembre, representará un compromiso de API aún más fuerte.

Antes de la publicación de la versión 1.0.0, los desarrolladores tienen la intención de brindarle a Arti soporte completo para trabajar como un cliente Tor que brinda acceso a Internet (la implementación del soporte para los servicios de cebolla se pospuso para el futuro).

Se planea incluirlo para lograr la paridad con la implementación principal en el lenguaje C en áreas como el rendimiento de la red, la carga y la confiabilidad de la CPU, así como para garantizar el soporte para todas las funciones relacionadas con la seguridad.

Cabe volver a mencionar que el proyecto tiene el estado de desarrollo experimental, va a la zaga de la funcionalidad del cliente Tor principal en lenguaje C y aún no está listo para reemplazarlo por completo.

Está prevista una versión 1.0 para septiembre con API, CLI y estabilización de la configuración, que será adecuada para el uso inicial de los usuarios habituales.

En un futuro más lejano, cuando el código Rust alcance un nivel capaz de reemplazar por completo la versión C, los desarrolladores tienen la intención de hacer de Arti la implementación principal de Tor y dejar de mantener la implementación C.

Confiamos en los usuarios y voluntarios para encontrar problemas en nuestro software y sugerir direcciones para mejorarlo. Aunque Arti aún no está listo para su uso en producción, puede probarlo como un proxy SOCKS (si está dispuesto a compilar desde la fuente) y como una biblioteca integrable (si no le importa un poco de inestabilidad de la API).

Finalmente si estás interesado en poder conocer más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/UDAKoVS
via IFTTT