A Conti Ransomware csoport szivárgása kiszélesedik

Néhány napja foglalkoztunk a Conti ransomware banda tagjai közötti személyes kommunikáció kiszivárgásával. Az eredeti incidenst az váltotta ki, hogy a Conti banda heves oroszbarát bejegyzést írt az oldalukon, és kinyilvánította megingathatatlan támogatását Oroszország mellett a folyamatban lévő ukrán invázióban. Most ugyanaz a személy, aki elindította a kezdeti szivárgást, sokkal több információval szolgált, beleértve a visszafejtő eszközt és a rosszindulatú eszközök forráskódját.

A Conti leak új információkkal, forráskóddal bővül

A Conti ransomware bandájának egy ukrán tagja néhány napja fellépett, elégedetlen volt a csoport ukrajnai háborúval kapcsolatos hivatalos álláspontja miatt, és sok oldalnyi .json formátumú kommunikációt szivárogtatott ki a ransomware csapat tagjai között. A kezdeti dömping mellett ugyanaz a tag megígérte, hogy még több lesz, és be is tartotta ígéretét.

Az új kiszivárogtatásokat a vx-undergroundon keresztül teszik közzé – egy portálon, amely forráskódokat, mintákat és rosszindulatú programokkal kapcsolatos információkat gyűjt. A kiszivárgott Conti és a kapcsolódó fájlok második információs dumpja tartalmazza a Conti által használt platform adminisztrációs panel kódját. Egy gyors pillantás azt jelzi, hogy az adminisztrációs panel nyílt forráskódú megoldáson alapul.

A csoport taktikáiról, technikáiról és eljárásairól is rengeteg új információ található, beleértve az aktív címtárak felsorolását, az NTDS kiíratások létrehozását a Vssadmin segítségével, valamint a Cobalt Strike, ShareFinder és AnyDesk eszközök használatának részleteit.

A kiszivárogtatás tartalmazta a Conti v2 ransomware forráskódját és annak dekódolóját is. Ennek ellenére a kutatók megismételték, hogy ez nem a ransomware eszközkészlet legfrissebb verziója, és a visszafejtő nem lesz hasznos azoknak az áldozatoknak, akiket nemrégiben fertőzött meg Conti.

A visszafejtő nem hasznos a jelenlegi áldozatok számára

A kiszivárgott Conti dump orosz nyelven felvett oktatóvideókat is tartalmaz, amelyek különféle technikákra oktatják a leendő tagokat és leányvállalatokat, például a Cobalt Strike használatát, a PowerShell használatát a behatolási teszteléshez és a visszafejtési alkalmazásokat.

A második Conti-infó kiszivárogtatása is tartalmaz egy csomó információt a TrickBotról. Ez nem csak a TrickBot kiadásának forráskódját tartalmazza, hanem a rosszindulatú szoftverek alkalmazása során használt módszerekre vonatkozó információkat, valamint a banda tagjai között megosztott know-how-t is.

A rengeteg információ ellenére a Threatpost az Advanced Intelligence egyik biztonsági kutatóját idézte, aki kijelentette, hogy a kiszivárogtatás nem lesz olyan hatással a Conti csoportra, mint ahogy azt egyesek remélték. A kiszivárgott információ a bandán belüli hat embertest közül csak egyre vonatkozott, és nem ez volt a központi és legfontosabb. A hírek szerint a ransomware banda is újraindította tevékenységét, és továbblép.