Mere Conti Ransomware-kildekode lækker online, efterhånden som Ukraine-Rusland-invasionen skrider frem
Conti ransomware -banden skabte overskrifter i de sidste par uger, men på en måde havde de færreste forventet. Efter at banden havde postet en nidkær pro-russisk besked til åbenlys støtte til krigen i Ukraine, lækkede et medlem af gruppen, hvis sympatier var med Ukraine, betydelige mængder intern korrespondance fra Conti-medlemmer såvel som kildekoden til ældre udgivelser af ransomware .
Nu har den person, der administrerer Twitter-kontoen kaldet ContiLeaks, offentliggjort flere lækager, inklusive kildekode til nyere versioner af gruppens ransomware.
Hvem er Conti-besætningen?
Conti er en kreds af russisktalende cyberkriminelle, der har opnået en række vellykkede ransomware-angreb i løbet af de sidste par år, med anslåede udbetalinger i millioner af dollars.
Den nyligt offentliggjorte kildekode lækket af ContiLeaks-kontoen på Twitter er allerede blevet uploadet til VirusTotal. Pakken er adgangskodebeskyttet, men adgangskoden blev også gjort tilgængelig.
Det seneste tilgængelige kildekodelæk ser ud til at være betydeligt nyere med et tidsstempel tidligt i 2021. Selvom denne dato stadig er et år siden, er denne læk meget nyere end den tidligere tilgængelige kildekode.
De interne Conti-medlemschatlogs, der tidligere blev lækket, var for omfattende til at blive analyseret hurtigt, men sikkerhedsforskere har gradvist plukket dem fra hinanden. Yderligere analyser belyser den interne struktur i ransomware-banden og viser, at de fungerer på samme måde som en almindelig virksomhed med forskellige afdelinger, der er ansvarlige for forskellige opgaver. Disse spænder fra at ansætte nye medarbejdere, til at producere malware-kode, til at forhandle med ofre for at sikre, at betalinger i sidste ende bliver foretaget.
Er der flere lækager på vej?
Et mærkeligt særpræg opdaget af Check Point-forskere, der analyserer chatloggene, er, at en række personer, der endte med at arbejde for Conti, faktisk blev ansat normalt uden at indse, at de blev rekrutteret af kriminelle. Disse uheldige ansættelser blev ført til at tro, at de udførte lovligt arbejde med værktøjer, der blev brugt til test af netværkspenetration.
Der er ingen måde at sige, om der vil komme flere læk, men den person, der driver Twitter-kontoen, lover meget mere efter den indledende læk og ser ud til at være lige så god som hans ord indtil videre. Hvorvidt den mere opdaterede kildekode vil hjælpe med at skabe dekrypteringsværktøjer til de nuværende versioner af ransomware er heller ikke klart.