Mer Conti Ransomware-källkod läcker online när invasionen av Ukraina och Ryssland fortskrider
Conti ransomware -gänget skapade rubriker under de senaste veckorna, men på ett sätt var det få som förväntade sig. Efter att gänget postat ett nitiskt pro-ryskt meddelande till uppenbart stöd för kriget i Ukraina, läckte en medlem av gruppen vars sympatier var med Ukraina betydande mängder intern korrespondens från Conti-medlemmar samt källkoden för äldre utgivningar av ransomware .
Nu har personen som hanterar Twitter-kontot som heter ContiLeaks publicerat fler läckor, inklusive källkod för nyare versioner av gruppens ransomware.
Vilka är Conti-teamet?
Conti är en krets av rysktalande cyberkriminella som har fått ett antal framgångsrika ransomware-attacker under de senaste åren, med uppskattade utbetalningar i miljontals dollar.
Den nyligen publicerade källkoden som läckt ut av ContiLeaks-kontot på Twitter har redan laddats upp till VirusTotal. Paketet är lösenordsskyddat, men lösenordet gjordes också tillgängligt.
Den senaste tillgängliga källkodsläckan verkar vara betydligt nyare, med en tidsstämpel i början av 2021. Även om detta datum fortfarande är ett år sedan, är denna läcka mycket nyare än den tidigare tillgängliga källkoden.
De interna Conti-medlemschattloggarna som tidigare läckt ut var för omfattande för att kunna analyseras snabbt, men säkerhetsforskare har plockat isär dem gradvis. Ytterligare analys belyser den interna strukturen hos ransomware-gänget och visar att de verkar på samma sätt som en vanlig verksamhet, med olika avdelningar som ansvarar för olika uppgifter. Dessa sträcker sig från att anställa nya medarbetare, till att producera skadlig kod, till att förhandla med offer för att säkerställa att betalningar så småningom görs.
Kommer det fler läckor?
En märklig egenhet som upptäckts av Check Point-forskare som analyserar chattloggarna är att ett antal personer som slutade arbeta för Conti faktiskt anställdes normalt, utan att inse att de rekryteras av kriminella. Dessa olyckliga anställningar leddes till att tro att de utförde legitimt arbete med verktyg som används för testning av nätverkspenetration.
Det finns inget sätt att säga om det kommer att komma fler läckor, men personen som driver Twitter-kontot lovar mycket mer efter den första läckan och verkar vara lika bra som hans ord än så länge. Huruvida den mer uppdaterade källkoden kommer att hjälpa till att skapa några dekrypteringsverktyg för de nuvarande versionerna av ransomware är inte heller klart.