Contiランサムウェアグループのリークが拡大
数日前、Contiランサムウェアギャングメンバー間の個人的なコミュニケーションの漏洩について取り上げました。最初の事件は、コンティギャングが彼らのサイトに猛烈な親ロシアのポストを作り、進行中のウクライナの侵略におけるロシアへの揺るぎない支持を宣言することによって刺激されました。現在、最初のリークを開始した同じ人物が、復号化ツールや悪意のあるツールのソースコードなど、より多くの情報を提供しています。
Contiリークは新しい情報、ソースコードで拡張されます
コンティランサムウェアギャングのウクライナ人メンバーは、数日前にステップアップし、ウクライナでの戦争に対するグループの公式の姿勢に不満を抱き、ランサムウェアの衣装のメンバー間の.json形式の通信に相当する多くのページを漏らしました。最初のダンプと一緒に、同じメンバーはもっと来ると約束し、彼は約束を守りました。
新しいリークは、vx-underground(マルウェアに関するソースコード、サンプル、および情報を収集するポータル)を通じて公開されています。リークされたContiおよび関連ファイルの2番目の情報ダンプには、Contiが使用するプラットフォームの管理パネルコードが含まれています。一目見ただけで、管理パネルはオープンソースソリューションに基づいていることがわかります。
Active Directoryの列挙、Vssadminを介したNTDSダンプの作成、Cobalt Strike、ShareFinder、AnyDeskなどのツールの使用に関する詳細など、グループの戦術、手法、手順に関する新しい情報も豊富にあります。
Contiv2ランサムウェアとその復号化機能のソースコードもリークに含まれていました。この事実にもかかわらず、研究者は、これはランサムウェアツールキットの最新バージョンではなく、最近Contiに感染した被害者には復号化機能が使用されないことを繰り返し述べました。
現在の犠牲者には役に立たない復号化器
リークされたContiダンプには、ロシア語で記録されたビデオチュートリアルも含まれており、Cobalt Strikeの使用、侵入テストへのPowerShellの使用、リバースエンジニアリングアプリケーションなどのさまざまな手法についてメンバーやアフィリエイトに指示しています。
TrickBotに関する多くの情報も、2番目のConti情報リークに含まれています。これには、TrickBotリリースのソースコードだけでなく、マルウェアを使用する際に使用される方法や詳細、ギャングメンバー間で共有されるノウハウに関する情報も含まれます。
豊富な情報にもかかわらず、ThreatpostはAdvanced Intelligenceのセキュリティ研究者を引用し、リークはContiグループに期待するほどの影響を与えないと述べました。漏洩した情報は、ギャング内の6つの組織のうちの1つに関係しており、中心的で最も重要なものではありませんでした。ランサムウェアギャングもまた、その活動を再開し、前進していると報じられています。