Wyciek grupy Conti Ransomware rozszerza się
Kilka dni temu pisaliśmy o wycieku osobistej komunikacji między członkami gangu Conti ransomware. Pierwotny incydent został zachęcony przez gang Conti, który zamieścił na swojej stronie gwałtowny prorosyjski post i zadeklarował swoje niezachwiane poparcie dla Rosji w trwającej inwazji na Ukrainę. Teraz ta sama osoba, która rozpoczęła pierwszy wyciek, dostarczyła znacznie więcej informacji, w tym narzędzie do deszyfrowania i kod źródłowy złośliwych narzędzi.
Wyciek Conti rozszerza się o nowe informacje, kod źródłowy
Ukraiński członek gangu Conti ransomware wystąpił kilka dni temu, niezadowolony z oficjalnego stanowiska grupy w sprawie wojny na Ukrainie i ujawnił wiele stron komunikacji w formacie .json między członkami organizacji ransomware. Wraz z początkowym zrzutem ten sam członek obiecał, że będzie ich więcej i dotrzymał obietnicy.
Nowe przecieki są publikowane za pośrednictwem vx-underground - portalu gromadzącego kod źródłowy, próbki i informacje o złośliwym oprogramowaniu. Drugi zrzut informacji o wycieku Conti i powiązanych plikach zawiera kod panelu administratora platformy, z której korzysta Conti. Szybki rzut oka wskazuje, że panel administracyjny jest oparty na rozwiązaniu open-source.
Istnieje również wiele nowych informacji o taktykach, technikach i procedurach grupy, w tym informacje o enumeracji Active Directory, tworzeniu zrzutów NTDS za pośrednictwem Vssadmin oraz szczegóły dotyczące korzystania z narzędzi, takich jak Cobalt Strike, ShareFinder i AnyDesk.
Przeciek zawierał również kod źródłowy ransomware Conti v2 i jego deszyfrator. Mimo to badacze potwierdzili, że nie jest to najnowsza wersja zestawu narzędzi ransomware, a dekrypter nie będzie przydatny dla ofiar, które niedawno zostały zainfekowane przez Conti.
Deszyfrator nieprzydatny dla obecnych ofiar
Zawarte w wycieku zrzutu Conti są również samouczki wideo nagrane w języku rosyjskim, instruujące potencjalnych członków i partnerów na temat różnych technik, takich jak używanie Cobalt Strike, używanie PowerShell do testów penetracyjnych i aplikacji inżynierii odwrotnej.
Mnóstwo informacji na temat TrickBota jest również zawarte w drugim wycieku informacji Conti. Obejmuje to nie tylko kod źródłowy wydania TrickBota, ale także informacje o metodach wykorzystywanych podczas wykorzystywania złośliwego oprogramowania, a także szczegóły i dzielenie się know-how pomiędzy członkami gangu.
Pomimo obfitości informacji, Threatpost zacytował badacza bezpieczeństwa z Advanced Intelligence, który stwierdził, że wyciek nie wpłynie na grupę Conti tak bardzo, jak niektórzy mogą mieć nadzieję. Ujawnione informacje dotyczyły tylko jednego z sześciu ciał osób w gangu i nie było to najważniejsze i najważniejsze. Gang zajmujący się oprogramowaniem ransomware również podobno wznowił swoją działalność i idzie dalej.