Secondo gli esperti, negli ultimi anni Conti ha già estorto 2,5 miliardi di dollari con ransomware. Ora è chiaro: il gruppo ha sede in Russia e ha sostenuto internamente la guerra di aggressione russa. Tuttavia, alcuni ucraini o oppositori della guerra probabilmente lavoravano nel gruppo e non erano d'accordo. Adesso sono trapelate chat e codici e, secondo gli esperti, anche il gioiello della corona: il codice sorgente.
Probabilmente non è un caso che i dati con 60.000 chat interne del gruppo Conti siano trapelati a un ricercatore di sicurezza ucraino. Secondo le prime dichiarazioni, le chat dovrebbero mostrare che, oltre a una dura vita lavorativa quotidiana, si discuteva anche dei problemi quotidiani dei dipendenti. Tuttavia, ci sono anche molte parti di codice che sono state scambiate in questo modo e discussioni su determinati meccanismi software o sullo sfruttamento delle vulnerabilità tramite exploit. Quello che c'è esattamente nelle chat probabilmente lo si saprà solo lentamente nelle prossime settimane.
Russia contro Ucraina – anche internamente a Conti
Secondo gli esperti, il gruppo di ransomware Conti ha già rubato fino a 2,5 miliardi di dollari attraverso l'estorsione. Gli esperti hanno sempre sospettato che Conti abbia sede in Russia. Finora nessuno è stato in grado di dimostrarlo. Non devi più farlo, lo ha confermato lo stesso Conti. Internamente, la leadership del gruppo si è schierata con la Russia nella chat e probabilmente ha ordinato di voler sostenere l'attacco all'Ucraina. Si dice anche che Conti abbia stretti legami con i servizi segreti russi FSB. Apparentemente, nel gruppo hanno lavorato anche ucraini e oppositori della guerra. Almeno uno di loro ha copiato 60.000 chat e le ha consegnate al ricercatore di sicurezza ucraino.
Conti Leak è una vera e propria miniera d'oro
Nelle chat ci sono probabilmente anche molti codici usati per malware. Come se queste informazioni e il codice valutabile non bastassero: il ricercatore di sicurezza ucraino ha già pubblicato altri 107.000 messaggi di chat. Secondo winfuture.de risalire alla metà del 2020, ovvero il periodo in cui Conti ha iniziato ad operare. Un'ulteriore valutazione promette una comprensione ancora maggiore del gruppo, delle sue strutture e del suo codice.
Ritrovati i gioielli della corona: gli esperti applaudono
Secondo il sito web BleepingComputer è stato scoperto anche il codice sorgente per la raccolta di strumenti ransomware di Conti. Sebbene questi dati siano stati crittografati, potrebbero probabilmente essere violati da un ricercatore di sicurezza. E poi eccoli lì, i gioielli della corona: il codificatore, il decrittatore e il costruttore. Tutto il necessario per esaminare il ransomware di Conti e analizzarne i meccanismi. Il codice sorgente del ransomware è ora aperto.
Codice sorgente Conti ransomware decrittografato
Sapendo questo, i ricercatori di sicurezza ora hanno molto lavoro davanti a loro. Dopotutto, questa conoscenza facilita anche lo sviluppo di strumenti di decrittazione. Sarebbe anche un bene, perché il Gruppo Conti non sembra rifuggire da nulla. Forte Golem.de si dice che le chat contenessero un paragrafo sull'attacco ransomware Conti nell'ottobre 2020 a quasi 430 strutture mediche negli Stati Uniti. Dice: "Fanculo le cliniche negli Stati Uniti questa settimana". E ancora: “Ci sarà il panico. 428 ospedali”. Ma niente di tutto ciò contava per il gruppo.
Altro su BleepingComputer.com