Flere Conti Ransomware-kildekodelekkasjer på nettet ettersom Ukraina-Russland-invasjonen skrider frem
Conti løsepengegjengen skapte overskrifter de siste ukene, men på en måte var det få som forventet. Etter at gjengen la ut en nidkjær pro-russisk melding til åpenbar støtte for krigen i Ukraina, lekket et medlem av gruppen som hadde sympati med Ukraina betydelige mengder intern korrespondanse til Conti-medlemmer samt kildekoden til eldre utgivelser av løsepengevaren. .
Nå har personen som administrerer Twitter-kontoen kalt ContiLeaks publisert flere lekkasjer, inkludert kildekode til nyere versjoner av gruppens løsepengeprogramvare .
Hvem er Conti-mannskapet?
Conti er en krets av russisktalende nettkriminelle som har oppnådd en rekke vellykkede løsepengevareangrep i løpet av de siste par årene, med estimerte utbetalinger i millioner av dollar.
Den nylig publiserte kildekoden lekket av ContiLeaks-kontoen på Twitter er allerede lastet opp til VirusTotal. Pakken er passordbeskyttet, men passordet ble også gjort tilgjengelig.
Den siste tilgjengelige kildekodelekkasjen ser ut til å være betydelig nyere, med et tidsstempel tidlig i 2021. Selv om denne datoen fortsatt er et år siden, er denne lekkasjen mye nyere enn den tidligere tilgjengelige kildekoden.
De interne chatloggene for Conti-medlemmene som tidligere ble lekket var for omfattende til å kunne analyseres raskt, men sikkerhetsforskere har plukket dem fra hverandre gradvis. Videre analyse belyser den interne strukturen i løsepengegjengen og viser at de driver på samme måte som en vanlig virksomhet, med ulike avdelinger som er ansvarlige for ulike oppgaver. Disse spenner fra å ansette nye medarbeidere, til å produsere skadevarekode, til å forhandle med ofre for å sikre at betalinger til slutt blir utført.
Kommer det flere lekkasjer?
En merkelig finurlighet oppdaget av Check Point-forskere som analyserer chat-loggene, er at en rekke personer som endte opp med å jobbe for Conti faktisk ble ansatt på vanlig måte, uten at de innså at de ble rekruttert av kriminelle. Disse uheldige ansatte ble ført til å tro at de utførte legitimt arbeid med verktøy som ble brukt til testing av nettverkspenetrasjon .
Det er ingen måte å si om det vil komme flere lekkasjer, men personen som driver Twitter-kontoen lover mye mer etter den første lekkasjen og ser ut til å være like god som han har sagt så langt. Hvorvidt den mer oppdaterte kildekoden vil hjelpe til med å lage eventuelle dekrypteringsverktøy for gjeldende versjoner av løsepengevaren er heller ikke klart.