La fuite du groupe Conti Ransomware s'étend

Il y a quelques jours, nous avons couvert la fuite de la communication personnelle entre les membres du gang de rançongiciels Conti. L'incident initial a été provoqué par le gang Conti qui a publié un message pro-russe véhément sur son site et déclaré son soutien indéfectible à la Russie dans l'invasion ukrainienne en cours. Maintenant, la même personne qui a commencé la fuite initiale a fourni beaucoup plus d'informations, y compris un outil de décryptage et le code source des outils malveillants.

La fuite de Conti se développe avec de nouvelles informations et le code source

Un membre ukrainien du gang de rançongiciels Conti est intervenu il y a quelques jours, mécontent de la position officielle du groupe sur la guerre en Ukraine, et a divulgué de nombreuses pages de communication au format .json entre les membres du groupe de rançongiciels. En plus du vidage initial, le même membre a promis qu'il y en aurait d'autres à venir et il a tenu sa promesse.

Les nouvelles fuites sont publiées via vx-underground - un portail collectant le code source, des échantillons et des informations sur les logiciels malveillants. Le deuxième vidage d'informations de Conti divulgué et des fichiers associés comprend le code du panneau d'administration de la plate-forme utilisée par Conti. Un coup d'œil rapide indique que le panneau d'administration est basé sur une solution open source.

Il existe également de nombreuses nouvelles informations sur les tactiques, techniques et procédures du groupe, notamment des informations sur l'énumération Active Directory, la création de vidages NTDS via Vssadmin et des détails sur l'utilisation d'outils tels que Cobalt Strike, ShareFinder et AnyDesk.

Le code source du rançongiciel Conti v2 et son décrypteur étaient également contenus dans la fuite. Malgré ce fait, les chercheurs ont réitéré qu'il ne s'agit pas de la version la plus récente de la boîte à outils du rançongiciel et que le décrypteur ne sera pas utile aux victimes récemment infectées par Conti.

Décrypteur pas utile pour les victimes actuelles

Le vidage Conti divulgué comprend également des didacticiels vidéo enregistrés en russe, instruisant les futurs membres et affiliés sur diverses techniques telles que l'utilisation de Cobalt Strike, l'utilisation de PowerShell pour les tests de pénétration et les applications d'ingénierie inverse.

Une multitude d'informations sur TrickBot est également incluse dans la deuxième fuite d'informations Conti. Cela inclut non seulement un code source d'une version de TrickBot, mais également des informations sur les méthodes utilisées lors de l'utilisation du logiciel malveillant et des spécificités et du savoir-faire partagé entre les membres du gang.

Malgré l'abondance d'informations, Threatpost a cité un chercheur en sécurité d'Advanced Intelligence, qui a déclaré que la fuite n'aurait pas autant d'impact sur le groupe Conti que certains pourraient l'espérer. Les informations divulguées ne concernaient qu'un seul des six corps de personnes à l'intérieur du gang et ce n'était pas le corps central et le plus important. Le gang des rançongiciels aurait également relancé ses opérations et passe à autre chose.