Một nhân vật bí ẩn tự xưng là GangExposed vừa gây chấn động cộng đồng an ninh mạng khi công khai danh tính những kẻ cầm đầu các băng nhóm tống tiền mạng khét tiếng như Conti và Trickbot, đồng thời tung ra hàng loạt tài liệu nội bộ, nhật ký trò chuyện, video cá nhân và các cuộc thương lượng tiền chuộc liên quan đến các nhóm tội phạm mạng từng gây thiệt hại hàng tỷ đô la trên toàn cầu. GangExposed khẳng định hành động của mình là một phần trong cuộc chiến chống lại “xã hội tội phạm có tổ chức nổi tiếng trên thế giới”. Trao đổi qua Signal với The Register, người này cho biết không quan tâm đến khoản tiền thưởng 10 triệu đô la mà chính phủ Mỹ treo cho thông tin về một thủ lĩnh Conti mà anh ta đã công khai tên tuổi, cũng như một nhân vật khác mà anh dự định sẽ tiết lộ trên Telegram trong thời gian tới. GangExposed chia sẻ rằng anh cảm thấy hài lòng khi có thể loại bỏ khỏi xã hội ít nhất một số phần tử tội phạm, và đơn giản là anh thích giải quyết những vụ án phức tạp nhất.
Sau khi lập kênh Telegram mới vào ngày 5 tháng 5, GangExposed đã công bố “tiết lộ” đầu tiên, vạch mặt thủ lĩnh Trickbot và Conti có biệt danh Stern, thực chất là Vitaly Nikolaevich Kovalev, 36 tuổi, quốc tịch Nga. Thông tin này sau đó được cảnh sát Đức xác nhận. Vài ngày sau, GangExposed tiếp tục nhận diện một thành viên chủ chốt khác của Conti có biệt danh Professor, chính là Vladimir Viktorovich Kvitko, 39 tuổi, người Nga, được cho là đã chuyển từ Moscow sang Dubai. Theo các đoạn chat và tài liệu do GangExposed tiết lộ, Kvitko cùng một số lãnh đạo khác của Conti đã chuyển đến Dubai từ năm 2020 để tiếp tục các hoạt động tấn công mạng nhắm vào các tổ chức phương Tây. GangExposed cho biết Kvitko có lối sống khá giản dị, sở hữu bất động sản ở Moscow và một số xe đăng ký dưới tên người thân, thu nhập chủ yếu đến từ các công ty quản lý RM RAIL và ngân hàng Rosselkhozbank. Trong khi đó, các thủ lĩnh khác như Target lại sở hữu nhiều tài sản xa xỉ như căn hộ tại Moscow City, xe Ferrari và hai chiếc Maybach.
GangExposed còn công bố một video ghi lại cảnh sáu thành viên Conti trên một chuyến bay riêng, ăn mừng sinh nhật của Target. Chính phủ Mỹ hiện đang treo thưởng lên tới 10 triệu đô la cho thông tin giúp xác định hoặc truy bắt năm nhân vật chủ chốt của Conti, trong đó có Professor và Target. GangExposed tuyên bố sẽ tiếp tục công khai danh tính Target, cho rằng mình đã “đốt” 10 triệu đô khi tiết lộ về Professor và sắp “đốt” thêm 10 triệu đô nữa với Target.
Vào thứ Năm, GangExposed tiếp tục tung ra 15 bức ảnh được cho là của các thành viên Conti, đồng thời đăng tải thông tin chi tiết về quản trị viên hệ thống chính Defender (Andrey Yuryevich Zhuykov) và quản lý cấp cao Mango (Mikhail Mikhailovich Tsaryov). Các chuyên gia phân tích của FalconFeeds nhận định, đây không còn đơn thuần là một vụ rò rỉ dữ liệu mà đã trở thành “cuộc chiến tình báo căng thẳng”.
GangExposed tự nhận mình là “nhà điều tra độc lập ẩn danh” không có nền tảng công nghệ thông tin chính quy, thậm chí không sử dụng tên thật trong nhiều năm. Anh cho biết bộ công cụ của mình gồm phân tích tình báo cổ điển, logic, nghiên cứu thực tế, phương pháp OSINT, phân tích văn phong (anh là nhà ngôn ngữ học và ngữ văn học), tâm lý học con người và khả năng xâu chuỗi các mảnh ghép mà người khác không nhận ra. GangExposed mô tả bản thân là người sống du mục, không có nơi ở cố định, thường xuyên di chuyển giữa các quốc gia và đặt tiêu chuẩn bảo mật cá nhân cao hơn cả những đối tượng mà anh điều tra.
Nguồn dữ liệu mà GangExposed sử dụng đến từ các cơ sở dữ liệu bán đóng, dịch vụ darknet (để khai thác hồ sơ nhà nước qua các quan chức tham nhũng) và mua thông tin. Anh cho biết mình có quyền truy cập vào cơ sở dữ liệu kiểm soát biên giới của FSB bị rò rỉ, từng được rao bán trên darkweb với giá 250,000 đô la.
GangExposed đặt ra ba mục tiêu cho cuộc điều tra này: công khai danh tính khoảng 50 thành viên chủ chốt của các băng nhóm, thúc đẩy việc họ bị trừng phạt và đưa vào danh sách truy nã của Interpol; phá vỡ các kế hoạch làm giàu hiện tại của họ bằng cách phơi bày những kẻ đứng sau diễn đàn Blockchain Life – nơi được cho là bệ phóng cho các mô hình lừa đảo đa cấp và hợp pháp hóa tiền mã hóa bất hợp pháp của Trickbot và Conti; cuối cùng là tước bỏ nơi trú ẩn an toàn tại UAE, nơi các lãnh đạo Conti đã lợi dụng để thực hiện các cuộc tấn công mạng mà không lo bị dẫn độ.
Một số chuyên gia bảo mật cho rằng GangExposed có thể là thành viên cũ bất mãn của các băng nhóm tống tiền hoặc đơn giản chỉ là người tái hiện lại vụ rò rỉ Conti năm 2022. Theo ông Nandakishore Harikumar, CEO Technisanct, đơn vị sở hữu FalconFeeds, mức độ truy cập, ngữ cảnh và sự phối hợp nội bộ trong các tài liệu rò rỉ cho thấy nguồn tin có thể là người từng ở trong nhóm hoặc là nội gián. Nhóm của ông đã phân tích toàn bộ dữ liệu do GangExposed công bố và khuyến nghị các cơ quan thực thi pháp luật nên tận dụng các đầu mối mới về danh tính các thủ lĩnh Conti để điều tra sâu hơn.