Conti Ransomware Group Leak breidt uit
Een paar dagen geleden hebben we het lek van de persoonlijke communicatie tussen de Conti ransomware-bendeleden behandeld. Het oorspronkelijke incident werd aangespoord door de Conti-bende die een heftige pro-Russische post op hun site plaatste en hun niet-aflatende steun aan Rusland betuigde in de aanhoudende Oekraïense invasie. Nu heeft dezelfde persoon die het eerste lek begon, veel meer informatie verstrekt, waaronder een decoderingstool en broncode voor kwaadaardige tools.
Conti lek breidt uit met nieuwe info, broncode
Een Oekraïens lid van de Conti-ransomwarebende trad een paar dagen geleden op, ontevreden over het officiële standpunt van de groep over de oorlog in Oekraïne, en lekte vele pagina's aan .json-geformatteerde communicatie tussen leden van de ransomware-outfit. Samen met de eerste dump beloofde hetzelfde lid dat er meer zou komen en hij hield zijn belofte.
De nieuwe lekken worden gepubliceerd via vx-underground - een portaal dat broncode, voorbeelden en informatie over malware verzamelt. De tweede infodump van gelekte Conti en gerelateerde bestanden bevat de beheerderspaneelcode van het platform dat Conti gebruikt. Een snelle blik geeft aan dat het admin panel gebaseerd is op een open-source oplossing.
Er is ook een overvloed aan nieuwe informatie over de tactieken, technieken en procedures van de groep, inclusief informatie over het inventariseren van actieve mappen, het maken van NTDS-dumps via Vssadmin en details over het gebruik van tools zoals Cobalt Strike, ShareFinder en AnyDesk.
De broncode van de Conti v2-ransomware en zijn decryptor zaten ook in het lek. Ondanks dit feit herhaalden onderzoekers dat dit niet de meest recente versie van de ransomware-toolkit is en dat de decryptor niet nuttig zal zijn voor slachtoffers die recentelijk door Conti zijn geïnfecteerd.
Decryptor niet nuttig voor huidige slachtoffers
In de gelekte Conti-dump zijn ook videotutorials opgenomen in het Russisch, waarin potentiële leden en gelieerde ondernemingen worden geïnstrueerd over verschillende technieken, zoals het gebruik van Cobalt Strike, het gebruik van PowerShell voor penetratietesten en reverse engineering-toepassingen.
Een hoop informatie over TrickBot is ook opgenomen in het tweede Conti-infolek. Dit omvat niet alleen een broncode van een TrickBot-release, maar ook informatie over methoden die worden gebruikt bij het gebruik van de malware en details en gedeelde knowhow tussen bendeleden.
Ondanks de overvloed aan informatie citeerde Threatpost een beveiligingsonderzoeker met Advanced Intelligence, die verklaarde dat het lek niet zoveel invloed zou hebben op de Conti-groep als sommigen misschien hopen. De gelekte informatie betrof slechts een van de zes lichamen van mensen binnen de bende en het was niet de centrale en belangrijkste. De ransomwarebende heeft naar verluidt ook haar activiteiten opnieuw opgestart en gaat verder.