Επεκτείνεται η διαρροή της ομάδας Conti Ransomware

Πριν από λίγες μέρες καλύψαμε τη διαρροή της προσωπικής επικοινωνίας μεταξύ των μελών της συμμορίας ransomware Conti. Το αρχικό περιστατικό υποκινήθηκε από τη συμμορία Conti που έκανε μια σφοδρή φιλορωσική ανάρτηση στον ιστότοπό της και δηλώνοντας την ακλόνητη υποστήριξή της στη Ρωσία στη συνεχιζόμενη ουκρανική εισβολή. Τώρα το ίδιο άτομο που ξεκίνησε την αρχική διαρροή έχει παράσχει πολλές περισσότερες πληροφορίες, συμπεριλαμβανομένου ενός εργαλείου αποκρυπτογράφησης και πηγαίο κώδικα για κακόβουλα εργαλεία.

Η διαρροή Conti επεκτείνεται με νέες πληροφορίες, πηγαίο κώδικα

Ένα Ουκρανό μέλος της συμμορίας ransomware Conti εντάθηκε πριν από λίγες ημέρες, δυσαρεστημένο από την επίσημη στάση της ομάδας για τον πόλεμο στην Ουκρανία, και διέρρευσε πολλές σελίδες επικοινωνίας με μορφή .json μεταξύ των μελών της ομάδας ransomware. Μαζί με την αρχική χωματερή, το ίδιο μέλος υποσχέθηκε ότι θα ακολουθούσαν κι άλλα και κράτησε την υπόσχεσή του.

Οι νέες διαρροές δημοσιεύονται μέσω vx-underground - μια πύλη που συλλέγει πηγαίο κώδικα, δείγματα και πληροφορίες για κακόβουλο λογισμικό. Η δεύτερη ένδειξη πληροφοριών για τα αρχεία Conti που διέρρευσαν και τα σχετικά αρχεία περιλαμβάνει τον κώδικα του πίνακα διαχείρισης της πλατφόρμας που χρησιμοποιεί η Conti. Μια γρήγορη ματιά δείχνει ότι ο πίνακας διαχείρισης βασίζεται σε μια λύση ανοιχτού κώδικα.

Υπάρχουν επίσης άφθονες νέες πληροφορίες σχετικά με τις τακτικές, τις τεχνικές και τις διαδικασίες της ομάδας, συμπεριλαμβανομένων πληροφοριών σχετικά με την απαρίθμηση ενεργών καταλόγων, τη δημιουργία NTDS dumps μέσω του Vssadmin και λεπτομέρειες σχετικά με τη χρήση εργαλείων όπως το Cobalt Strike, το ShareFinder και το AnyDesk.

Ο πηγαίος κώδικας του ransomware Conti v2 και ο αποκρυπτογραφητής του περιέχονταν επίσης στη διαρροή. Παρά το γεγονός αυτό, οι ερευνητές επανέλαβαν ότι αυτή δεν είναι η πιο πρόσφατη έκδοση της εργαλειοθήκης ransomware και ότι ο αποκρυπτογραφητής δεν θα είναι χρήσιμος σε θύματα που μολύνθηκαν πρόσφατα από το Conti.

Ο αποκρυπτογραφητής δεν είναι χρήσιμος για τα τρέχοντα θύματα

Στο Conti dump που διέρρευσε περιλαμβάνονται επίσης εκπαιδευτικά βίντεο που έχουν εγγραφεί στα ρωσικά, τα οποία δίνουν οδηγίες σε επίδοξα μέλη και συνεργάτες σε διάφορες τεχνικές, όπως η χρήση του Cobalt Strike, η χρήση του PowerShell για δοκιμές διείσδυσης και οι εφαρμογές αντίστροφης μηχανικής.

Μια σειρά πληροφοριών για το TrickBot περιλαμβάνεται επίσης στη δεύτερη διαρροή πληροφοριών Conti. Αυτό περιλαμβάνει όχι μόνο έναν πηγαίο κώδικα μιας έκδοσης TrickBot, αλλά και πληροφορίες σχετικά με τις μεθόδους που χρησιμοποιούνται κατά τη χρήση του κακόβουλου λογισμικού και συγκεκριμένα και την κοινή τεχνογνωσία μεταξύ των μελών της συμμορίας.

Παρά την αφθονία των πληροφοριών, το Threatpost επικαλέστηκε έναν ερευνητή ασφαλείας με Advanced Intelligence, ο οποίος δήλωσε ότι η διαρροή δεν θα επηρεάσει την ομάδα Conti όσο θα μπορούσαν να ελπίζουν ορισμένοι. Οι πληροφορίες που διέρρευσαν αφορούσαν μόνο ένα από τα έξι πτώματα ατόμων μέσα στη συμμορία και δεν ήταν το κεντρικό και σημαντικότερο. Η συμμορία ransomware φέρεται επίσης να έχει επανεκκινήσει τις δραστηριότητές της και προχωρά.