Περισσότερα Conti Ransomware πηγαίου κώδικα διαρρέουν στο διαδίκτυο καθώς εξελίσσεται η εισβολή Ουκρανίας-Ρωσίας

Η συμμορία ransomware Conti έγινε πρωτοσέλιδο τις τελευταίες εβδομάδες, αλλά κατά κάποιον τρόπο λίγοι περίμεναν. Αφού η συμμορία δημοσίευσε ένα ένθερμο φιλορωσικό μήνυμα για την προφανή υποστήριξη του πολέμου στην Ουκρανία, ένα μέλος της ομάδας με συμπάθειες προς την Ουκρανία διέρρευσε σημαντικές ποσότητες εσωτερικής αλληλογραφίας των μελών Conti καθώς και τον πηγαίο κώδικα παλαιότερων εκδόσεων του ransomware .

Τώρα το άτομο που διαχειρίζεται τον λογαριασμό Twitter που ονομάζεται ContiLeaks έχει δημοσιεύσει περισσότερες διαρροές, συμπεριλαμβανομένου του πηγαίο κώδικα πιο πρόσφατων εκδόσεων του ransomware της ομάδας.

Ποιο είναι το πλήρωμα Conti;

Ο Conti είναι ένας κύκλος ρωσόφωνων εγκληματιών στον κυβερνοχώρο που έχει σημειώσει μια σειρά από επιτυχημένες επιθέσεις ransomware τα τελευταία δύο χρόνια, με εκτιμώμενες πληρωμές σε εκατομμύρια δολάρια.

Ο πρόσφατα δημοσιευμένος πηγαίος κώδικας που διέρρευσε από τον λογαριασμό ContiLeaks στο Twitter έχει ήδη ανέβει στο VirusTotal. Το πακέτο προστατεύεται με κωδικό πρόσβασης, αλλά ο κωδικός πρόσβασης έγινε επίσης διαθέσιμος.

Η τελευταία διαθέσιμη διαρροή πηγαίου κώδικα φαίνεται να είναι πολύ πιο πρόσφατη, με χρονική σήμανση στις αρχές του 2021. Παρόλο που αυτή η ημερομηνία είναι ακόμη πριν από έναν χρόνο, αυτή η διαρροή είναι πολύ πιο πρόσφατη από τον προηγουμένως διαθέσιμο πηγαίο κώδικα.

Τα εσωτερικά αρχεία καταγραφής συνομιλιών μελών Conti που είχαν προηγουμένως διαρρεύσει ήταν πολύ εκτεταμένα για να αναλυθούν γρήγορα, αλλά οι ερευνητές ασφαλείας τα ξεχώριζαν σταδιακά. Περαιτέρω ανάλυση ρίχνει φως στην εσωτερική δομή της συμμορίας ransomware και δείχνει ότι λειτουργούν παρόμοια με μια κανονική επιχείρηση, με διαφορετικά τμήματα υπεύθυνα για διαφορετικές εργασίες. Αυτά κυμαίνονται από την πρόσληψη νέων συνεργατών, την παραγωγή κώδικα κακόβουλου λογισμικού, έως τη διαπραγμάτευση με τα θύματα για να διασφαλιστεί ότι οι πληρωμές θα πραγματοποιηθούν τελικά.

Θα ακολουθήσουν κι άλλες διαρροές;

Μια περίεργη ιδιορρυθμία που ανακάλυψαν οι ερευνητές του Check Point που αναλύουν τα αρχεία καταγραφής συνομιλιών είναι ότι ορισμένοι άνθρωποι που κατέληξαν να εργάζονται για την Conti προσλήφθηκαν κανονικά, χωρίς να συνειδητοποιήσουν ποτέ ότι στρατολογούνται από εγκληματίες. Αυτές οι ατυχείς προσλήψεις οδηγήθηκαν στο να πιστεύουν ότι έκαναν νόμιμη δουλειά σε εργαλεία που χρησιμοποιούνται για τη δοκιμή διείσδυσης δικτύου .

Δεν υπάρχει τρόπος να πούμε αν θα υπάρξουν περισσότερες διαρροές, αλλά το άτομο που χειρίζεται τον λογαριασμό Twitter υπόσχεται πολύ περισσότερα μετά την αρχική διαρροή και φαίνεται να είναι τόσο καλό όσο ο λόγος του μέχρι στιγμής. Δεν είναι επίσης σαφές εάν ο πιο ενημερωμένος πηγαίος κώδικας θα βοηθήσει στη δημιουργία εργαλείων αποκρυπτογράφησης για τις τρέχουσες εκδόσεις του ransomware.