Meer Conti Ransomware-broncode lekt online naarmate de invasie tussen Oekraïne en Rusland vordert
De Conti-ransomwarebende haalde de afgelopen weken de krantenkoppen, maar op een manier die weinig mensen verwachtten. Nadat de bende een ijverig pro-Russisch bericht had gepost ter duidelijke ondersteuning van de oorlog in Oekraïne, lekte een lid van de groep wiens sympathie was met Oekraïne aanzienlijke hoeveelheden interne correspondentie van Conti-leden, evenals de broncode van oudere versies van de ransomware .
Nu heeft de persoon die het Twitter-account genaamd ContiLeaks beheert, meer lekken gepubliceerd, waaronder broncode van recentere versies van de ransomware van de groep.
Wie zijn de Conti-crew?
Conti is een kring van Russisch sprekende cybercriminelen die de afgelopen jaren een aantal succesvolle ransomware-aanvallen hebben gescoord, met geschatte uitbetalingen in de miljoenen dollars.
De nieuw gepubliceerde broncode die door het ContiLeaks-account op Twitter is gelekt, is al geüpload naar VirusTotal. Het pakket is beveiligd met een wachtwoord, maar het wachtwoord is ook beschikbaar gesteld.
Het laatst beschikbare broncodelek blijkt aanzienlijk recenter te zijn, met een tijdstempel van begin 2021. Ook al is deze datum nog een jaar geleden, dit lek is veel recenter dan de eerder beschikbare broncode.
De interne chatlogs van Conti-leden die eerder waren gelekt, waren te uitgebreid om snel te analyseren, maar beveiligingsonderzoekers hebben die geleidelijk aan uit elkaar gehaald. Nadere analyse werpt licht op de interne structuur van de ransomwarebende en laat zien dat ze vergelijkbaar zijn met een regulier bedrijf, met verschillende afdelingen die verantwoordelijk zijn voor verschillende taken. Die variëren van het inhuren van nieuwe medewerkers tot het produceren van malwarecode tot het onderhandelen met slachtoffers om ervoor te zorgen dat de betalingen uiteindelijk worden gedaan.
Komen er nog meer lekkages?
Een merkwaardige eigenaardigheid die is ontdekt door Check Point-onderzoekers die de chatlogboeken analyseren, is dat een aantal mensen die uiteindelijk voor Conti gingen werken, eigenlijk normaal waren aangenomen, zonder zich te realiseren dat ze door criminelen worden gerekruteerd. Die ongelukkige medewerkers werden ertoe gebracht te denken dat ze legitiem werk deden aan tools die werden gebruikt voor het testen van netwerkpenetratie.
Er is geen manier om te zeggen of er nog meer lekken zullen komen, maar de persoon die het Twitter-account beheert, belooft veel meer na het eerste lek en lijkt tot nu toe zo goed als zijn woord. Of de meer up-to-date broncode zal helpen bij het maken van decoderingstools voor de huidige versies van de ransomware is ook niet duidelijk.