Lisää Conti Ransomwaren lähdekoodia vuotaa verkossa Ukrainan ja Venäjän hyökkäyksen edetessä

Conti ransomware -jengi nousi otsikoihin viime viikkoina, mutta tavallaan harvat odottivat. Sen jälkeen kun jengi oli julkaissut innokkaan Venäjä-mielisen viestin Ukrainan sodan selväksi tueksi, Ukrainaa kohtaan tunteneen ryhmän jäsen vuoti merkittäviä määriä Contin jäsenten sisäistä kirjeenvaihtoa sekä vanhojen ransomware-julkaisujen lähdekoodia. .

Nyt ContiLeaks-nimistä Twitter-tiliä hallinnoiva henkilö on julkaissut lisää vuotoja, mukaan lukien lähdekoodit ryhmän lunnasohjelmien uusimmista versioista.

Keitä Contin miehistö on?

Conti on venäjänkielisten kyberrikollisten piiri, joka on tehnyt useita onnistuneita kiristysohjelmahyökkäyksiä viimeisten parin vuoden aikana, ja voittojen on arvioitu olevan miljoonia dollareita.

ContiLeaks-tilin Twitterissä vuotanut äskettäin julkaistu lähdekoodi on jo ladattu VirusTotaliin. Paketti on suojattu salasanalla, mutta myös salasana julkaistiin.

Viimeisin saatavilla oleva lähdekoodivuoto näyttää olevan huomattavasti uudempi, ja aikaleima on vuoden 2021 alussa. Vaikka tämä päivämäärä on vielä vuoden takaa, tämä vuoto on paljon uudempi kuin aiemmin saatavilla oleva lähdekoodi.

Aiemmin vuotaneet sisäiset Contin jäsenten chat-lokit olivat liian laajoja analysoitavaksi nopeasti, mutta tietoturvatutkijat ovat poimineet niitä vähitellen. Lisäanalyysi valaisee kiristyshaittaohjelmien joukon sisäistä rakennetta ja osoittaa, että ne toimivat samalla tavalla kuin tavallinen liiketoiminta, jossa eri osastot vastaavat erilaisista tehtävistä. Ne vaihtelevat uusien kumppaneiden palkkaamisesta haittaohjelmakoodin tuottamiseen ja uhrien kanssa neuvottelemiseen sen varmistamiseksi, että maksut lopulta suoritetaan.

Onko vuotoja tulossa lisää?

Check Pointin tutkijoiden, jotka analysoivat chat-lokeja, havaitsema omituinen omituisuus on, että monet Contille töihin päätyneet ihmiset palkattiin normaalisti, eivätkä he ymmärtäneet, että rikolliset värväsivät heidät. Nämä valitettavat palkatut työntekijät uskoivat tekevänsä laillista työtä verkon läpäisevyyden testaamiseen käytettyjen työkalujen parissa.

Ei voi sanoa, tuleeko lisää vuotoja, mutta Twitter-tiliä ylläpitävä henkilö lupaa paljon enemmän alkuperäisen vuodon jälkeen ja näyttää olevan yhtä hyvä kuin hänen sanansa on toistaiseksi. Ei myöskään ole selvää, auttaako uudempi lähdekoodi salauksen purkutyökalujen luomisessa ransomwaren nykyisille versioille.