Según los expertos, Conti ya ha extorsionado 2,5 millones de dólares con ransomware en los últimos años. Ahora está claro: el grupo tiene su sede en Rusia y ha respaldado internamente la guerra de agresión rusa. Sin embargo, algunos ucranianos u opositores a la guerra probablemente trabajaron en el grupo y no estaban de acuerdo con él. Ahora se han filtrado chats y códigos y, según los expertos, también la joya de la corona: el código fuente.
Probablemente no fue una coincidencia que los datos de 60.000 chats internos del grupo Conti se filtraran a un investigador de seguridad ucraniano. Según las primeras declaraciones, los chats deberían mostrar que, además de la dura vida empresarial cotidiana, también se discutieron los problemas cotidianos de los empleados. Sin embargo, también hay muchas partes de código que se intercambiaron de esta manera y discusiones sobre ciertos mecanismos de software o la explotación de vulnerabilidades por medio de exploits. Lo que hay exactamente en los chats probablemente solo se sabrá lentamente en las próximas semanas.
Rusia contra Ucrania – también internamente en Conti
Según los expertos, el grupo de ransomware Conti ya ha robado hasta 2,5 millones de dólares a través de la extorsión. Los expertos siempre sospecharon que Conti tiene su sede en Rusia. Hasta ahora nadie ha podido demostrarlo. Ya no tienes que hacer eso, el mismo Conti lo confirmó. Internamente, el liderazgo del grupo se puso del lado de Rusia en el chat y probablemente ordenó que quisieran apoyar el ataque a Ucrania. También se dice que Conti tiene estrechos vínculos con el servicio secreto ruso FSB. Al parecer, en el grupo también trabajaban ucranianos y opositores a la guerra. Al menos uno de ellos copió 60.000 chats y se los entregó al investigador de seguridad ucraniano.
Conti Leak es una verdadera mina de oro
En los chats probablemente también haya muchos códigos usados para malware. Por si esta información y el código evaluable no fueran suficientes: el investigador de seguridad ucraniano ya ha publicado otros 107.000 mensajes de chat. Según winfuture.de volver a mediados de 2020, es decir, el período en que Conti inició operaciones. Una evaluación adicional promete aún más información sobre el grupo, sus estructuras y código.
Joyas de la corona encontradas: los expertos aplauden
Según el sitio web BleepingComputer También se descubrió el código fuente de la colección de herramientas de ransomware de Conti. Aunque estos datos estaban encriptados, probablemente un investigador de seguridad podría descifrarlos. Y ahí estaban, las joyas de la corona: el encriptador, el desencriptador y el constructor. Todo lo que necesita para examinar el ransomware de Conti y analizar sus mecanismos. El código fuente del ransomware ahora está abierto.
Código fuente del ransomware Conti descifrado
Sabiendo esto, los investigadores de seguridad ahora tienen mucho trabajo por delante. Después de todo, este conocimiento también facilita el desarrollo de herramientas de descifrado. Eso también sería bueno, porque el Grupo Conti no parece rehuir nada. Alto Golem.de Se dice que los chats contenían un párrafo sobre el ataque del ransomware Conti en octubre de 2020 en casi 430 instalaciones médicas en los EE. UU. Dice: "A la mierda las clínicas en los Estados Unidos esta semana". Y además: “Habrá pánico. 428 hospitales.” Pero nada de eso le importaba al grupo.
Más en BleepingComputer.com