Conti Ransomware Group Leak expanderar

För några dagar sedan täckte vi läckan av personlig kommunikation mellan Conti ransomware-gängmedlemmar. Den ursprungliga incidenten sporrades upp av att Conti-gänget gjorde ett häftigt pro-ryskt inlägg på sin webbplats och förklarade sitt orubbliga stöd för Ryssland i den pågående ukrainska invasionen. Nu har samma person som startade den första läckan lämnat mycket mer information, inklusive ett dekrypteringsverktyg och källkod för skadliga verktyg.

Conti leak expanderar med ny info, källkod

En ukrainsk medlem av Conti ransomware-gänget steg upp för några dagar sedan, missnöjd över gruppens officiella inställning till kriget i Ukraina, och läckte många sidor värda av .json-formaterad kommunikation mellan medlemmar i ransomware-outfiten. Tillsammans med den första soptippen lovade samma medlem att det skulle komma mer och han höll sitt löfte.

De nya läckorna publiceras via vx-underground - en portal som samlar in källkod, prover och information om skadlig programvara. Den andra informationsdumpen av läckta Conti och relaterade filer inkluderar administratörspanelkoden för plattformen Conti använder. En snabb blick indikerar att adminpanelen är baserad på en öppen källkodslösning.

Det finns också rikligt med ny information om gruppens taktik, tekniker och procedurer, inklusive information om aktiv kataloguppräkning, skapande av NTDS-dumpar via Vssadmin och detaljer om hur man använder verktyg inklusive Cobalt Strike, ShareFinder och AnyDesk.

Källkoden till Conti v2 ransomware och dess dekryptering ingick också i läckan. Trots detta upprepade forskare att detta inte är den senaste versionen av ransomware-verktygslådan och dekrypteringsprogrammet kommer inte att vara till nytta för offer som nyligen infekterades av Conti.

Decryptor inte användbar för nuvarande offer

Inkluderat i den läckta Conti-dumpen är också videohandledningar inspelade på ryska, som instruerar blivande medlemmar och affiliates om olika tekniker som att använda Cobalt Strike, använda PowerShell för penetrationstestning och omvända konstruktionsapplikationer.

En mängd information om TrickBot ingår också i den andra Conti-informationsläckan. Detta inkluderar inte bara en källkod för en TrickBot-utgåva, utan också information om metoder som används vid användning av skadlig programvara och detaljer och delad kunskap mellan gängmedlemmar.

Trots överflöd av information citerade Threatpost en säkerhetsforskare med Advanced Intelligence, som sa att läckan inte skulle påverka Conti-gruppen så mycket som vissa kanske hoppas. Den läckta informationen gällde bara en av de sex kropparna av personer i gänget och det var inte den centrala och viktigaste. Ransomware-gänget ska också ha återupptagit sin verksamhet och går vidare.