Conti Ransomware Group 洩漏擴大
幾天前,我們報導了 Conti 勒索軟件團伙成員之間的個人通信洩露事件。最初的事件是由孔蒂團伙在他們的網站上發表強烈的親俄帖子並宣布他們在烏克蘭持續入侵中堅定支持俄羅斯而引發的。現在,最初洩漏的同一個人提供了更多信息,包括解密工具和惡意工具的源代碼。
Conti洩漏擴展了新信息,源代碼
幾天前,Conti 勒索軟件團伙的一名烏克蘭成員挺身而出,對該組織對烏克蘭戰爭的官方立場感到不滿,並洩露了勒索軟件組織成員之間的多頁 .json 格式的通信。除了最初的轉儲外,同一個成員承諾還會有更多,他信守了諾言。
新的洩漏正在通過 vx-underground 發布——一個收集源代碼、樣本和惡意軟件信息的門戶。洩露的 Conti 和相關文件的第二個信息轉儲包括 Conti 使用的平台的管理面板代碼。快速瀏覽表明管理面板基於開源解決方案。
還有大量關於該組織的策略、技術和程序的新信息,包括活動目錄枚舉、通過 Vssadmin 創建 NTDS 轉儲的信息,以及使用 Cobalt Strike、ShareFinder 和 AnyDesk 等工具的詳細信息。
Conti v2 勒索軟件及其解密器的源代碼也包含在洩漏中。儘管如此,研究人員重申,這不是勒索軟件工具包的最新版本,解密器不會對最近被 Conti 感染的受害者使用。
解密器對當前的受害者沒有用
洩露的 Conti 轉儲中還包括用俄語錄製的視頻教程,指導潛在成員和附屬機構使用各種技術,例如使用 Cobalt Strike、使用 PowerShell 進行滲透測試和逆向工程應用程序。
關於 TrickBot 的大量信息也包含在第二次 Conti 信息洩露中。這不僅包括 TrickBot 版本的源代碼,還包括有關使用惡意軟件時使用的方法和細節以及幫派成員之間共享專有技術的信息。
儘管信息量很大,但 Threatpost 引用了 Advanced Intelligence 的一位安全研究人員的話說,洩漏不會像某些人希望的那樣影響 Conti 集團。洩露的信息只是幫派內六具屍體中的一具,並不是核心和最重要的一具。據報導,該勒索軟件團伙也已重新啟動其業務並繼續前進。