Утечка Conti Ransomware Group расширяется

Несколько дней назад мы рассказали об утечке личной переписки между членами банды вымогателей Conti. Первоначальный инцидент был спровоцирован бандой Конти, которая разместила на своем сайте яростный пророссийский пост и заявила о своей непоколебимой поддержке России в продолжающемся украинском вторжении. Теперь тот же человек, который начал первоначальную утечку, предоставил гораздо больше информации, включая инструмент для расшифровки и исходный код для вредоносных инструментов.

Утечка Conti пополнилась новой информацией и исходным кодом

Несколько дней назад активизировался украинский член банды вымогателей Conti, недовольный официальной позицией группы в отношении войны в Украине, и слил много страниц сообщений в формате .json между членами группы вымогателей. Наряду с первоначальным дампом тот же участник пообещал, что будет больше, и он сдержал свое обещание.

Новые утечки публикуются через vx-underground — портал, собирающий исходный код, образцы и информацию о вредоносных программах. Второй информационный дамп просочившихся Conti и связанных с ним файлов включает в себя код панели администратора платформы, которую использует Conti. Беглый взгляд показывает, что панель администратора основана на решении с открытым исходным кодом.

Существует также много новой информации о тактике, методах и процедурах группы, включая информацию о перечислении Active Directory, создании дампов NTDS с помощью Vssadmin и сведения об использовании таких инструментов, как Cobalt Strike, ShareFinder и AnyDesk.

В утечке также содержался исходный код программы-вымогателя Conti v2 и ее дешифратора. Несмотря на это, исследователи подтвердили, что это не самая последняя версия набора инструментов для вымогателей, и дешифратор не будет полезен жертвам, недавно зараженным Conti.

Расшифровщик бесполезен для текущих жертв

В просочившийся дамп Conti также включены видеоуроки, записанные на русском языке, инструктирующие потенциальных членов и аффилированных лиц по различным методам, таким как использование Cobalt Strike, использование PowerShell для тестирования на проникновение и обратное проектирование приложений.

Множество информации о TrickBot также включено во вторую утечку информации Conti. Это включает в себя не только исходный код версии TrickBot, но и информацию о методах, используемых при использовании вредоносного ПО, а также особенности и общие ноу-хау между членами банды.

Несмотря на обилие информации, Threatpost процитировал исследователя по безопасности из Advanced Intelligence, который заявил, что утечка не повлияет на группу Conti так сильно, как некоторые могли бы надеяться. Просочившаяся информация касалась только одной из шести группировок людей внутри банды, и она не была центральной и самой важной. Сообщается, что банда вымогателей также возобновила свою деятельность и движется дальше.