Więcej kodów źródłowych oprogramowania ransomware Conti wycieka do sieci w miarę postępu inwazji na Ukrainę i Rosję

Gang Conti ransomware trafił na pierwsze strony gazet w ciągu ostatnich kilku tygodni, ale mało kto się tego spodziewał. Po tym, jak gang opublikował gorliwe prorosyjskie przesłanie, wyraźnie wspierające wojnę na Ukrainie, członek grupy sympatyzującej z Ukrainą ujawnił znaczną ilość wewnętrznej korespondencji członków Conti, a także kod źródłowy starszych wersji oprogramowania ransomware .

Teraz osoba zarządzająca kontem na Twitterze o nazwie ContiLeaks opublikowała więcej przecieków, w tym kod źródłowy nowszych wersji oprogramowania ransomware tej grupy.

Kim jest załoga Conti?

Conti to krąg rosyjskojęzycznych cyberprzestępców, którzy w ciągu ostatnich kilku lat przeprowadzili szereg udanych ataków ransomware, których wypłaty szacowano na miliony dolarów.

Nowo opublikowany kod źródłowy, który wyciekł z konta ContiLeaks na Twitterze, został już przesłany do VirusTotal. Pakiet jest chroniony hasłem, ale hasło też zostało udostępnione.

Najnowszy dostępny wyciek kodu źródłowego wydaje się być znacznie nowszy, ze znacznikiem czasu na początku 2021 r. Chociaż data ta jest jeszcze rok temu, ten wyciek jest znacznie nowszy niż wcześniej dostępny kod źródłowy.

Wewnętrzne dzienniki czatów członków Conti, które wcześniej wyciekły, były zbyt obszerne, aby można je było szybko przeanalizować, ale analitycy bezpieczeństwa wybierali je stopniowo. Dalsza analiza rzuca światło na wewnętrzną strukturę gangu ransomware i pokazuje, że działa on podobnie do zwykłego biznesu, z różnymi działami odpowiedzialnymi za różne zadania. Obejmują one zatrudnianie nowych współpracowników, tworzenie kodu złośliwego oprogramowania, negocjacje z ofiarami w celu zapewnienia, że płatności zostaną ostatecznie zrealizowane.

Czy w przyszłości będzie więcej przecieków?

Ciekawym dziwactwem odkrytym przez badaczy Check Point, którzy analizują dzienniki czatów, jest to, że wiele osób, które ostatecznie pracowały dla Conti, zostało zatrudnionych normalnie, nigdy nie zdając sobie sprawy, że są rekrutowani przez przestępców. Ci niefortunni pracownicy byli przekonani, że wykonują legalną pracę nad narzędziami używanymi do testowania penetracji sieci.

Nie ma sposobu, aby powiedzieć, czy będzie więcej przecieków, ale osoba obsługująca konto na Twitterze obiecuje znacznie więcej po początkowym przecieku i wydaje się, że do tej pory dotrzymuje słowa. Nie jest również jasne, czy bardziej aktualny kod źródłowy pomoże w stworzeniu jakichkolwiek narzędzi deszyfrujących dla aktualnych wersji oprogramowania ransomware.