Plus de fuites de code source Conti Ransomware en ligne à mesure que l'invasion Ukraine-Russie progresse
Le gang de rançongiciels Conti a fait la une des journaux au cours des dernières semaines, mais d'une certaine manière, peu de gens s'y attendaient. Après que le gang ait publié un message pro-russe zélé en soutien évident à la guerre en Ukraine, un membre du groupe dont les sympathies allaient à l'Ukraine a divulgué d'importantes quantités de correspondance interne des membres de Conti ainsi que le code source d'anciennes versions du rançongiciel. .
Maintenant, la personne qui gère le compte Twitter appelé ContiLeaks a publié plus de fuites, y compris le code source de versions plus récentes du ransomware du groupe.
Qui est l'équipage de Conti ?
Conti est un cercle de cybercriminels russophones qui a réussi un certain nombre d'attaques de ransomwares réussies au cours des deux dernières années, avec des paiements estimés à des millions de dollars.
Le code source récemment publié divulgué par le compte ContiLeaks sur Twitter a déjà été téléchargé sur VirusTotal. Le package est protégé par un mot de passe, mais le mot de passe a également été mis à disposition.
La dernière fuite de code source disponible semble être considérablement plus récente, avec un horodatage de début 2021. Même si cette date remonte encore à un an, cette fuite est beaucoup plus récente que le code source précédemment disponible.
Les journaux de discussion internes des membres de Conti qui avaient déjà été divulgués étaient trop volumineux pour être analysés rapidement, mais les chercheurs en sécurité les ont progressivement séparés. Une analyse plus approfondie met en lumière la structure interne du gang de rançongiciels et montre qu'il fonctionne comme une entreprise ordinaire, avec différents départements responsables de différentes tâches. Celles-ci vont de l'embauche de nouveaux associés à la production de code malveillant, en passant par la négociation avec les victimes pour s'assurer que les paiements seront finalement effectués.
Y a-t-il d'autres fuites à venir ?
Une bizarrerie curieuse découverte par les chercheurs de Check Point qui analysent les journaux de discussion est qu'un certain nombre de personnes qui ont fini par travailler pour Conti ont en fait été embauchées normalement, sans jamais se rendre compte qu'elles étaient recrutées par des criminels. Ces malheureux embauchés ont été amenés à penser qu'ils faisaient un travail légitime sur des outils utilisés pour les tests de pénétration du réseau.
Il n'y a aucun moyen de dire s'il y aura d'autres fuites à venir, mais la personne qui exploite le compte Twitter promet beaucoup plus après la fuite initiale et semble être aussi bonne que sa parole jusqu'à présent. Il n'est pas non plus clair si le code source plus à jour aidera à la création d'outils de décryptage pour les versions actuelles du ransomware.