Altro codice sorgente di Conti Ransomware trapela online con l'avanzare dell'invasione Ucraina-Russia
La banda di ransomware Conti ha fatto notizia nelle ultime settimane, ma in un certo senso poche persone si aspettavano. Dopo che la banda ha pubblicato uno zelante messaggio filo-russo in evidente sostegno alla guerra in Ucraina, un membro del gruppo le cui simpatie erano con l'Ucraina ha fatto trapelare quantità significative di corrispondenza interna dei membri di Conti, nonché il codice sorgente delle versioni precedenti del ransomware .
Ora la persona che gestisce l'account Twitter chiamato ContiLeaks ha pubblicato più leak, incluso il codice sorgente delle versioni più recenti del ransomware del gruppo.
Chi sono i Conti?
Conti è una cerchia di criminali informatici di lingua russa che ha segnato una serie di attacchi ransomware riusciti negli ultimi due anni, con pagamenti stimati in milioni di dollari.
Il codice sorgente appena pubblicato trapelato dall'account ContiLeaks su Twitter è già stato caricato su VirusTotal. Il pacchetto è protetto da password, ma anche la password è stata resa disponibile.
L'ultima perdita di codice sorgente disponibile sembra essere notevolmente più recente, con un timestamp dell'inizio del 2021. Anche se questa data è ancora un anno fa, questa perdita è molto più recente del codice sorgente precedentemente disponibile.
I registri delle chat dei membri di Conti interni che erano trapelati in precedenza erano troppo estesi per essere analizzati rapidamente, ma i ricercatori della sicurezza li hanno gradualmente separati. Ulteriori analisi fanno luce sulla struttura interna della banda di ransomware e mostrano che operano in modo simile a un'attività normale, con diversi dipartimenti responsabili di compiti diversi. Questi vanno dall'assunzione di nuovi collaboratori, alla produzione di codice malware, alla negoziazione con le vittime per garantire che alla fine i pagamenti vengano effettuati.
Ci sono altre perdite in arrivo?
Una curiosità curiosa scoperta dai ricercatori di Check Point che stanno analizzando i log delle chat è che un certo numero di persone che hanno finito per lavorare per Conti sono state effettivamente assunte normalmente, senza mai rendersi conto di essere reclutate dai criminali. Quegli sfortunati assunti sono stati indotti a pensare di svolgere un lavoro legittimo sugli strumenti utilizzati per i test di penetrazione della rete.
Non c'è modo di dire se ci saranno altre fughe di notizie in arrivo, ma la persona che gestisce l'account Twitter promette molto di più dopo la fuga di notizie iniziale e sembra essere finora fedele alla sua parola. Anche se il codice sorgente più aggiornato aiuterà nella creazione di strumenti di decrittazione per le versioni attuali del ransomware non è chiaro.