Conti Ransomware Group Læk udvider sig

For et par dage siden dækkede vi lækket af den personlige kommunikation mellem Conti ransomware-bandemedlemmer. Den oprindelige hændelse blev ansporet af, at Conti-banden lavede et heftigt pro-russisk indlæg på deres websted og erklærede deres urokkelige støtte til Rusland i den igangværende ukrainske invasion. Nu har den samme person, der startede den indledende lækage, givet meget mere information, inklusive et dekrypteringsværktøj og kildekode til ondsindede værktøjer.

Conti læk udvides med ny info, kildekode

Et ukrainsk medlem af Conti ransomware-banden steg op for et par dage siden, utilfreds med gruppens officielle holdning til krigen i Ukraine, og lækkede mange siders .json-formateret kommunikation mellem medlemmer af ransomware-outfittet. Sammen med den indledende losseplads lovede det samme medlem, at der ville komme mere, og han holdt sit løfte.

De nye lækager bliver offentliggjort gennem vx-underground - en portal, der indsamler kildekode, prøver og information om malware. Det andet info-dump af lækkede Conti og relaterede filer inkluderer admin panelkoden for den platform, Conti bruger. Et hurtigt blik indikerer, at administrationspanelet er baseret på en open source-løsning.

Der er også rigelig ny information om gruppens taktik, teknikker og procedurer, inklusive information om aktiv mappeoptælling, oprettelse af NTDS-dumps via Vssadmin og detaljer om brug af værktøjer, herunder Cobalt Strike, ShareFinder og AnyDesk.

Kildekoden til Conti v2 ransomware og dens dekryptering var også indeholdt i lækagen. På trods af denne kendsgerning gentog forskere, at dette ikke er den mest aktuelle version af ransomware-værktøjssættet, og dekrypteringen vil ikke være til nytte for ofre, der for nylig blev inficeret af Conti.

Decryptor ikke nyttig for nuværende ofre

Inkluderet i det lækkede Conti-dump er også video-tutorials optaget på russisk, der instruerer potentielle medlemmer og tilknyttede selskaber om forskellige teknikker såsom brug af Cobalt Strike, brug af PowerShell til penetrationstest og reverse engineering-applikationer.

En række oplysninger om TrickBot er også inkluderet i den anden Conti info læk. Dette inkluderer ikke kun en kildekode til en TrickBot-udgivelse, men også information om metoder, der bruges, når man anvender malware og detaljer og delt knowhow mellem bandemedlemmer.

På trods af overfloden af information citerede Threatpost en sikkerhedsforsker med Advanced Intelligence, som udtalte, at lækagen ikke ville påvirke Conti-gruppen så meget, som nogle måske håber. De lækkede oplysninger vedrørte blot et af de seks lig af personer i banden, og det var ikke det centrale og vigtigste. Ransomware-banden har angiveligt også relanceret sine aktiviteter og er på vej videre.