神秘人物GangExposed曝光了暗网勒索软件团伙Conti的全部成员信息，公布了成员照片及大量内部文件

一位匿名网络犯罪调查者、神秘的泄密者GangExposed近日在Telegram及X（原Twitter）上曝光了Conti和Trickbot暗网勒索软件团队背后的关键人物，公布了大量内部文件及团伙成员照片姓名，揭露了该勒索软件团伙主要人物的真实身份、行动策略和全球攻击行动。

泄露的文件包括Conti网络勒索团伙相关的数千份聊天记录、个人视频和赎金谈判记录，“暗网下/AWX”多次报道，Conti网络勒索团伙从全球的公司、医院和个人那里骗取了数十亿美元。

通过对泄露的通信、旅行记录、财务数据和公共记录进行细致分析，GangExposed揭露了核心领导人，包括Vladimir Viktorovich Kvitko（“Professor”）、难以捉摸的策划者“Target”、谈判代表Arkady Valentinovich Bondarenko和系统管理员Andrey Yuryevich Zhuykov（“Defender”）。

GangExposed泄露的资料深入探讨了该犯罪集团在迪拜的运营情况、其在新冠疫情期间对医院的攻击以及维持其全球网络犯罪帝国的关键基础设施，为执法部门提供了一个难得的机会来摧毁世界上最危险的勒索软件网络之一。

美国国务院正义奖励(RFJ)项目曾针对Conti勒索软件团伙宣布，将悬赏高达1000万美元，奖励那些能够识别或定位参与针对美国关键基础设施的恶意网络活动、违反《计算机欺诈和滥用法案》(CFAA)的个人的信息。

本站（anwangxia.com）看到，美国国务院的这个计划专门针对Conti勒索软件团伙的成员，该勒索软件团伙是一个与俄罗斯政府有关联的勒索软件即服务(RaaS)组织，以攻击美国和西方的重要基础设施而闻名。

GangExposed自称，这是他“对抗一个举世闻名的有组织犯罪团伙”的一部分。他声称，他对联邦调查局为获取有关Conti一名关键头目（他已经点名）以及另一名即将在Telegram上公布的头目信息而提供的1000万美元赏金不感兴趣。

“我很高兴能帮助社会摆脱至少一部分这样的人，”GangExposed说。“我只是喜欢解决最复杂的案件。”

5月5日，他创建了最新的Telegram频道（GangExposed称，此前两个账号已于几天前被关闭）。之后，他发布了自己的首个“爆料”，揭露了Trickbot和Conti的头目斯特恩（Stern）的真实身份，他的名字是36岁的俄罗斯人维塔利·尼古拉耶维奇·科瓦列夫（Vitaly Nikolaevich Kovalev）。斯特恩的身份后来得到了德国警方的确认。

几天后，GangExposed声称确认了另一名Conti组织的关键人物，他自称Professor，名叫弗拉基米尔·维克托罗维奇·科维特科(Vladimir Viktorovich Kvitko)。科维特科现年39岁，俄罗斯公民，据报道已从莫斯科迁至迪拜。根据GangExposed泄露的聊天记录和其他通讯记录，科维特科和其他Conti组织领导人于2020年迁至迪拜，并在阿联酋设立据点，继续对西方组织进行网络攻击。

GangExposed发帖称：“Kvitko的生活方式很简朴，已知在莫斯科拥有房产，并在家庭成员名下登记了几辆车。他的收入主要来自RM RAIL管理公司和俄罗斯农业银行。相比之下，其他Conti领导人（例如“Target”）则拥有大量奢侈品，包括一套莫斯科市公寓、一辆法拉利和两辆迈巴赫汽车。”

他还发布了一段视频，GangExposed称视频中六名Conti勒索软件成员乘坐私人飞机庆祝另一位关键领导人Target的生日。

美国政府悬赏高达1000万美元，征集线索，以识别或定位五名Conti关键人员，其中包括“Professor”和“Target”。GangExposed表示，他下一步将锁定Target。

“基本上，当我曝光Target时，我浪费了1000万美元，”他表示。“当我曝光Target时，我又要浪费1000万美元。”

周四，他发布了多达15张据称是Conti成员的照片，以及对Conti首席系统管理员Defender（又名Andrey Yuryevich Zhuykov）和Mango（又名Mikhail Mikhailovich Tsaryov，该组织高级经理）的更详细描述。

FalconFeeds威胁情报分析师在社交媒体X上发文称：“这不再只是一次泄密，而是一场高风险的情报战。”

Conti勒索软件团伙及其主要参与者

RFJ项目正在搜寻以“Target”、“Reshaev”、“Professor”、“Tramp”和“Dandis”等别名开展活动的恶意网络行为者的信息，据信他们与Conti（又名Wizard Spider）勒索软件团伙有关联。

Conti勒索软件团伙于2019年首次被发现，已进行了1000多次勒索软件操作，目标是执法机构、紧急医疗服务、9-1-1调度中心和市政当局等关键基础设施部门。

在全球受到Conti勒索软件团伙攻击的400多个企业及机构中，有290多个位于美国。

揭秘“Professor”：弗拉基米尔·维克托罗维奇·科维特科

GangExposed已最终确定Conti核心领导人“Professor”的身份为弗拉基米尔·维克托罗维奇·科维特科(Vladimir Viktorovich Kvitko，1984年10月23日出生)，俄罗斯公民，于2020年秋季从莫斯科移居迪拜。

Kvitko在Conti的角色包括策划现实世界的信用卡欺诈计划，利用印度、古巴和伊朗等国家薄弱的银行系统。

他的身份通过同步的旅行模式和聊天不活跃情况得到确认：俄罗斯记录显示，科维特科于2021年6月15日至17日在阿尔泰共和国，与“Professor”在Conti的Jabber聊天中保持沉默的时期相吻合，6月18日返回莫斯科后恢复了交流。

俄罗斯联邦安全局的边境数据进一步显示，他频繁前往阿联酋、古巴、伊朗、奥地利和土耳其，以配合孔蒂的行动。自2022年8月以来，科维特科一直留在迪拜，通过前往荷兰和奥地利办理签证延期。

他的档案包括护照、电话号码、电子邮件、社交媒体资料以及与RM RAIL管理公司和俄罗斯农业银行收入相关的财产记录，是GangExposed数字档案Mega link的一部分。

Conti勒索软件团伙于2021年在迪拜秋季发动网络攻击

2021年秋季，Conti勒索软件团伙将迪拜变成了针对西方、中东和中国公司发动大规模勒索软件攻击的战略中心。

该团伙由FBI悬赏1000万美元的人物“Target”领导，在配备专用攻击基础设施的实体办公室开展活动，由系统管理员Andrey Zhuykov协调，谈判代表Arkady Bondarenko参与。

此次行动的时间表展现了其精心的计划：

• 2021年10月1日，泄露的聊天记录显示，一名被描述为“来自一家回收公司的加拿大人”的“谈判人员”被确认为邦达连科（Bondarenko），他当天从迪拜飞往莫斯科（EK-133航班），讨论通过Suex交易所付款的问题。这恰逢Conti的网络攻击准备阶段。
• 到10月2日，“Target”协调设立了迪拜办事处，订购了设备并与副手Sergey Khitrov进行了合作。
• 10月10日至14日，包括Marat Nurtdinov、Oleg Fakeev、Kvitko和Elizaveta Suchkova在内的主要成员乘坐SU-520和G9-956航班抵达迪拜。
• 从10月17日到11月6日，Conti发起了峰值攻击：10月17日发起了7次攻击（例如Graff Diamonds、JVCKenwood），10月23日发起了11次攻击（例如阿联酋的Obeikan Investment Group），11月6日发起了13次攻击，其中包括ARM中国和TRINA SOLAR（阿联酋）。

这些攻击利用了阿联酋缺乏引渡协议和网络犯罪监管松懈的特点，不仅针对西方公司，还针对当地和亚洲公司，其中Bondarenko负责管理与受害者的谈判，而Zhuykov负责确保技术基础设施的稳定。

Target：价值1000万美元的“掠食者”

“Target”使用“Bloodrush”和“Red”等化名，是Conti纪律严明、冷酷无情的领导者，指挥着一个拥有近100名特工的近乎企业化的犯罪集团。

尽管美国联邦调查局悬赏1000万美元，但他三年来一直逍遥法外，并声称与俄罗斯联邦安全局有联系，积累了数百万比特币，同时每周向特工支付200美元。

他对人类苦难的漠视在新冠疫情期间表现得淋漓尽致。2020年10月，他攻击了美国428家医院，并在聊天中幸灾乐祸地说：“428家医院……我就满意了”，“要么让他们死，要么让他们付出代价”。

Target的线下办公室、严格的员工监督以及通过Jabber和RocketChat等平台消除数字痕迹凸显了其运营的复杂性。

GangExposed通过元数据和引文恢复了已删除的消息，揭露了他的阴谋，包括迪拜枢纽的建立。

阿尔卡季·邦达连科：大陆​​谈判专家

阿尔卡季·瓦伦蒂诺维奇·邦达连科(Arkady Valentinovich Bondarenko，1970年8月2日出生)拥有俄罗斯和加拿大双重国籍，被认定为Conti的主要谈判代表，负责管理受害者沟通和赎金支付。

2021年10月1日，Conti成员“Mango”在聊天中将他描述为“来自一家回收公司的加拿大人”，这与他从迪拜飞往莫斯科（EK-133航班）的时间一致。

他的行程经常与科维特科的行程重叠，特别是在2020年1月17日（科维特科乘坐SU-522航班，邦达连科乘坐EK-134航班）、2022年5月和2019年2月，这表明需要进行面对面协调，同时避免共享航班。

邦达连科的财务状况表明他从事洗钱活动，他从VTB银行获得了超过1.07亿卢布的贷款，并拥有莫斯科的豪华房产、高档汽车（例如英菲尼迪QX80）以及LLC“Jewelry House Millennium”等空壳公司。

他的档案详细记录了多部电话（例如+7 926 686-00-00）、电子邮件（例如[email protected]）和银行账户，证实了他作为金融中介的角色。

安德烈·尤里耶维奇·朱伊科夫：技术骨干

安德烈·尤里耶维奇·朱伊科夫(Andrey Yuryevich Zhuykov，1982年2月18日出生)，被称为“Defender”或“Def”，是Conti的首席系统管理员和DevOps专家，负责该集团的技术基础设施。

朱伊科夫在俄罗斯斯维尔德洛夫斯克州和索契开展业务，管理服务器、域名、代理、VPN、控制面板和备份通道，确保Conti运营的稳定性和匿名性。

他高超的技术能力和严格的管理风格使他成为集团的关键“单点故障”。

泄露的聊天记录显示，他与领导层（例如Stern、Buza）、供应商和程序员进行协调，处理服务器和许可证的付款，并进行安全审计以防止漏洞。

他的档案包括护照（例如，6511090337）、电话（例如，+7 989 165 9356）、电子邮件（例如，[email protected]）和社交资料（例如，Telegram@nohau）。

朱伊科夫的财务困境，负债超过200万卢布，并且面临子女抚养费的强制执行，这与他在Conti数百万美元的业务中扮演的关键角色形成了鲜明对比。

其他关键数据

其他被曝光的Conti勒索软件团伙的领导人包括：

维塔利·科瓦列夫（“Stern”），其泄露的Telegram消息（@tguser1）揭露了他的网络连接。尽管他进行了整形手术，改变了外貌，但GangExposed还是曝光了他的新面孔和护照。

米哈伊尔·米哈伊洛维奇·察里约夫（“Mango”），1989年4月20日出生，Conti-TrickBot生态系统的协调员，参考了Bondarenko的谈判者角色链接。

GangExposed又是谁？

GangExposed自称是一名“独立匿名调查员”，没有任何正式的IT背景，并表示自己“多年来都没有‘真名’”。

“我的工具包括经典情报分析、逻辑、事实研究、开源情报方法论、文体学（我是一名语言学家和文献学家）、人类心理学，以及拼凑他人难以察觉的谜题的能力，”他说。“我是一个四海为家的人，没有固定住所——我会根据需要在不同国家之间迁移。我的隐私标准通常比我调查的大多数对象都更严格。”

GangExposed表示，他泄露的所有数据都是通过“半封闭数据库、暗网服务（用于通过腐败官员探查国家记录）”获得的，而且他还经常购买信息，他拥有泄露的俄罗斯联邦安全局边境管制数据库的访问权限，他说该数据库在暗网上以25万美元的价格出售。

他希望他的调查能够实现三个目标。首先，他希望公开所有团伙的主要犯罪参与者——GangExposed估计这个数字大约是50人——并让他们受到制裁，并被列入国际刑警组织的通缉名单。

其次，GangExposed表示，他希望“通过揭露区块链生活论坛的组织者来破坏他们目前的致富计划，该论坛是欺诈性传销的滋生地”。

根据内部聊天记录，Blockchain Life是由Khitrov和Kovalev（又名Stern）组织的一项计划，旨在使Trickbot和Conti非法获得的加密货币收入合法化。

最后，GangExposed表示他想“剥夺他们在阿联酋的避风港。阿联酋权威当局严格遵守法律，虽然他们没有针对网络犯罪分子的引渡协议，但我已成功调查并证明Conti确实利用阿联酋实施了攻击。换句话说，他们在阿联酋期间实施了一系列犯罪行为。”

一些安全研究人员认为，他实际上可能是一名心怀不满的前勒索软件罪犯，想要烧死他的老板，或者只是重新曝光2022年Conti泄密事件。

Technisanct创始人兼首席执行官Nandakishore Harikumar表示：“我们审查的数据提供了强有力的证据，表明泄密者要么是前成员，要么是该组织内部心怀不满的人员——考虑到通讯中所反映的访问权限、背景和内部协调。”Technisanct是FalconFeeds的母公司。

Harikumar的威胁情报小组分析了GangExposed的所有泄密内容，他建议执法部门根据泄密事件中披露的Conti关键领导人的个人身份信息，寻找调查线索。

泄露数据：调查人员的金矿

GangExposed前所未有的数据发布包括Conti Jabber和RocketChat泄漏、Black BastaMatrix-Chat泄漏以及来自Kovalev的Telegram消息，以表格和CSV格式提供。

这些数据集详细记录了内部通信，包括邦达连科的谈判和茹伊科夫的基础设施管理，使调查人员能够绘制出该勒索软件团伙的结构图，追踪资金流向，并识别剩余数据。恢复的已删除聊天记录揭示了Conti试图抹去迪拜枢纽、网络攻击医院事件和金融运作证据的企图。

据Habr报道，当GangExposed泄露Conti勒索软件团伙的机密时，该团伙曾开价400万美元购买Telegram漏洞进行报复。这次失败的尝试凸显了他们极力想让GangExposed闭嘴的决心。GangExposed声称，“我捅了马蜂窝”，并承诺进一步揭露Target的身份。

Conti迪拜中心的曝光，加上有关克维特科、邦达连科、茹伊科夫等人的档案，为阿联酋当局调查奥贝坎投资集团和天合光能等当地受害者提供了可操作的情报，也为中国当局调查ARM中国违规行为提供了可操作的情报。

西方机构可以利用Target的1000万美元赏金，而邦达连科的双重国籍和朱伊科夫的财务踪迹则为国际合作查获非法资金提供了途径。

GangExposed的不懈调查打破了Conti的匿名身份，揭露了Kvitko的“Professor”身份、Bondarenko的谈判代表身份、Zhuykov的技术骨干身份，并详细披露了Target攻击医院事件和迪拜行动的细节。凭借详尽的档案和泄露数据，“暗网下/AWX”认为，这些数据与资料为执法部门和受害者提供了一个历史性的机会，可以摧毁一个全球网络犯罪集团。