Conti Ransomware Group 泄漏扩大
几天前,我们报道了 Conti 勒索软件团伙成员之间的个人通信泄露事件。最初的事件是由孔蒂团伙在他们的网站上发表强烈的亲俄帖子并宣布他们在乌克兰持续入侵中坚定支持俄罗斯而引发的。现在,最初泄漏的同一个人提供了更多信息,包括解密工具和恶意工具的源代码。
Conti泄漏扩展了新信息,源代码
几天前,Conti 勒索软件团伙的一名乌克兰成员挺身而出,对该组织对乌克兰战争的官方立场感到不满,并泄露了勒索软件组织成员之间的多页 .json 格式的通信。除了最初的转储外,同一个成员承诺还会有更多,他信守了诺言。
新的泄漏正在通过 vx-underground 发布——一个收集源代码、样本和恶意软件信息的门户。泄露的 Conti 和相关文件的第二个信息转储包括 Conti 使用的平台的管理面板代码。快速浏览表明管理面板基于开源解决方案。
还有大量关于该组织的策略、技术和程序的新信息,包括活动目录枚举、通过 Vssadmin 创建 NTDS 转储的信息,以及使用 Cobalt Strike、ShareFinder 和 AnyDesk 等工具的详细信息。
Conti v2 勒索软件及其解密器的源代码也包含在泄漏中。尽管如此,研究人员重申,这不是勒索软件工具包的最新版本,解密器不会对最近被 Conti 感染的受害者使用。
解密器对当前的受害者没有用
泄露的 Conti 转储中还包括用俄语录制的视频教程,指导潜在成员和附属机构使用各种技术,例如使用 Cobalt Strike、使用 PowerShell 进行渗透测试和逆向工程应用程序。
关于 TrickBot 的大量信息也包含在第二次 Conti 信息泄露中。这不仅包括 TrickBot 版本的源代码,还包括有关使用恶意软件时使用的方法和细节以及帮派成员之间共享专有技术的信息。
尽管信息量很大,但 Threatpost 引用了 Advanced Intelligence 的一位安全研究人员的话说,泄漏不会像某些人希望的那样影响 Conti 集团。泄露的信息只是帮派内六具尸体中的一具,并不是核心和最重要的一具。据报道,该勒索软件团伙也已重新启动其业务并继续前进。
