O vazamento do grupo Conti Ransomware se expande

Alguns dias atrás, cobrimos o vazamento da comunicação pessoal entre os membros da gangue Conti ransomware. O incidente original foi estimulado pela gangue Conti fazendo um veemente post pró-Rússia em seu site e declarando seu apoio inabalável à Rússia na invasão ucraniana em andamento. Agora, a mesma pessoa que iniciou o vazamento inicial forneceu muito mais informações, incluindo uma ferramenta de descriptografia e código-fonte para ferramentas maliciosas.

Vazamento de Conti se expande com novas informações e código-fonte

Um membro ucraniano da gangue de ransomware Conti se manifestou alguns dias atrás, insatisfeito com a posição oficial do grupo sobre a guerra na Ucrânia, e vazou muitas páginas de comunicação no formato .json entre membros do grupo de ransomware. Junto com o despejo inicial, o mesmo membro prometeu que haveria mais por vir e ele manteve sua promessa.

Os novos vazamentos estão sendo publicados através do vx-underground - um portal que coleta código-fonte, amostras e informações sobre malware. O segundo despejo de informações do Conti vazado e arquivos relacionados inclui o código do painel de administração da plataforma que o Conti usa. Uma rápida olhada indica que o painel de administração é baseado em uma solução de código aberto.

Há também muitas novas informações sobre as táticas, técnicas e procedimentos do grupo, incluindo informações sobre enumeração de diretório ativo, criação de despejos NTDS via Vssadmin e detalhes sobre o uso de ferramentas como Cobalt Strike, ShareFinder e AnyDesk.

O código-fonte do ransomware Conti v2 e seu decodificador também estavam contidos no vazamento. Apesar disso, os pesquisadores reiteraram que esta não é a versão mais atual do kit de ferramentas do ransomware e o decodificador não será útil para vítimas que foram infectadas recentemente pelo Conti.

Decryptor não é útil para as vítimas atuais

Incluídos no despejo vazado do Conti também estão tutoriais em vídeo gravados em russo, instruindo possíveis membros e afiliados sobre várias técnicas, como o uso do Cobalt Strike, o uso do PowerShell para testes de penetração e aplicativos de engenharia reversa.

Uma enorme quantidade de informações sobre o TrickBot também está incluída no segundo vazamento de informações do Conti. Isso inclui não apenas um código-fonte de uma versão do TrickBot, mas também informações sobre os métodos usados ao empregar o malware e as especificidades e o conhecimento compartilhado entre os membros da gangue.

Apesar da abundância de informações, o Threatpost citou um pesquisador de segurança da Advanced Intelligence, que afirmou que o vazamento não afetaria o grupo Conti tanto quanto alguns poderiam esperar. A informação vazada dizia respeito apenas a um dos seis corpos de pessoas dentro da quadrilha e não era o central e o mais importante. A gangue do ransomware também relançou suas operações e está seguindo em frente.