„Conti Ransomware“ grupės nutekėjimas plečiasi

Prieš kelias dienas nušvietėme asmeninio bendravimo tarp Conti ransomware gaujos narių nutekėjimą. Pirminį incidentą paskatino Conti gauja, paskelbusi įnirtingą prorusišką įrašą savo svetainėje ir pareiškusi nepajudinamą paramą Rusijai vykstant Ukrainos invazijai. Dabar tas pats asmuo, kuris pradėjo pradinį nutekėjimą, pateikė daug daugiau informacijos, įskaitant iššifravimo įrankį ir kenkėjiškų įrankių šaltinio kodą.

Conti leak plečiasi nauja informacija, šaltinio kodu

Ukrainos narys iš Conti ransomware gaujos sustiprėjo prieš kelias dienas, nepatenkintas oficialia grupės pozicija dėl karo Ukrainoje, ir nutekino daugybę puslapių .json formato komunikacijos tarp išpirkos programų grupės narių. Kartu su pradiniu sąvartynu tas pats narys pažadėjo, kad bus daugiau, ir pažadą ištesėjo.

Nauji informacijos nutekėjimai skelbiami per „vx-underground“ – portalą, renkantį šaltinio kodą, pavyzdžius ir informaciją apie kenkėjiškas programas. Antrasis nutekėjusio „Conti“ ir susijusių failų informacijos rinkinys apima „Conti“ platformos administratoriaus skydelio kodą. Greitas žvilgsnis rodo, kad administratoriaus skydelis yra pagrįstas atvirojo kodo sprendimu.

Taip pat yra daug naujos informacijos apie grupės taktiką, metodus ir procedūras, įskaitant informaciją apie aktyvų katalogų sąrašą, NTDS iškeltų kūrimą per Vssadmin ir išsamią informaciją apie įrankių, įskaitant Cobalt Strike, ShareFinder ir AnyDesk, naudojimą.

Į nutekėjimą taip pat buvo įtrauktas „Conti v2“ išpirkos reikalaujančios programinės įrangos ir jos iššifravimo programos šaltinio kodas. Nepaisant šio fakto, mokslininkai pakartojo, kad tai nėra pati naujausia išpirkos reikalaujančių programų įrankių rinkinio versija ir iššifruotojas nebus naudingas aukoms, kurios neseniai buvo užkrėstos Conti.

Iššifratorius nėra naudingas dabartinėms aukoms

Į nutekintą „Conti“ sąvartyną taip pat įtrauktos vaizdo įrašų vadovėliai, įrašyti rusų kalba, mokantys būsimus narius ir filialus apie įvairius metodus, pvz., „Cobalt Strike“, „PowerShell“ naudojimą skverbties testavimui ir atvirkštinės inžinerijos programas.

Daug informacijos apie „TrickBot“ taip pat įtraukta į antrąjį „Conti“ informacijos nutekėjimą. Tai apima ne tik „TrickBot“ leidimo šaltinio kodą, bet ir informaciją apie metodus, naudojamus naudojant kenkėjišką programinę įrangą, ir specifiką bei dalijamasi žiniomis tarp gaujos narių.

Nepaisant informacijos gausos, „Threatpost“ citavo „Advanced Intelligence“ saugumo tyrėją, kuris teigė, kad nutekėjimas neturės tokios įtakos „Conti“ grupei, kaip kai kurie tikėjosi. Nutekėjusi informacija buvo susijusi tik su vienu iš šešių gaujoje esančių žmonių kūnų ir tai nebuvo pagrindinė ir svarbiausia. Pranešama, kad išpirkos reikalaujančių programų gauja taip pat atnaujino savo veiklą ir juda toliau.