Segundo especialistas, Conti já extorquiu 2,5 bilhões de dólares com ransomware nos últimos anos. Agora está claro: o grupo está sediado na Rússia e apoiou internamente a guerra de agressão russa. No entanto, alguns ucranianos ou opositores da guerra provavelmente trabalhavam no grupo e não concordavam com ele. Agora, bate-papos e códigos vazaram e, segundo especialistas, também as joias da coroa - o código-fonte.
Provavelmente não foi por acaso que os dados com 60.000 chats internos do grupo Conti vazaram para um pesquisador de segurança ucraniano. De acordo com as primeiras falas, os chats deveriam mostrar que, além de um cotidiano empresarial difícil, também eram discutidos os problemas cotidianos dos funcionários. No entanto, também existem muitas partes de código que foram trocadas dessa maneira e discussões sobre certos mecanismos de software ou a exploração de vulnerabilidades por exploits. O que exatamente está nos chats provavelmente só se tornará conhecido lentamente nas próximas semanas.
Rússia contra a Ucrânia – também internamente no Conti
Segundo especialistas, o grupo de ransomware Conti já roubou até 2,5 bilhões de dólares por meio de extorsão. Os especialistas sempre suspeitaram que Conti está baseado na Rússia. Até agora ninguém conseguiu provar isso. Você não precisa mais fazer isso, o próprio Conti confirmou. Internamente, a liderança do grupo ficou do lado da Rússia no chat e provavelmente ordenou que eles queiram apoiar o ataque à Ucrânia. Conti também teria laços estreitos com o serviço secreto russo FSB. Aparentemente, ucranianos e oponentes da guerra também trabalhavam no grupo. Pelo menos um deles copiou 60.000 chats e os entregou ao pesquisador de segurança ucraniano.
Conti Leak é uma verdadeira mina de ouro
Nos chats provavelmente também há muitos códigos usados para malware. Como se essas informações e o código avaliável não bastassem: o pesquisador de segurança ucraniano já publicou mais 107.000 mensagens de chat. De acordo com winfuture.de voltar a meados de 2020, ou seja, o período em que a Conti iniciou suas operações. Uma avaliação mais aprofundada promete ainda mais informações sobre o grupo, suas estruturas e código.
Jóias da coroa encontradas – elogios de especialistas
De acordo com o site BleepingComputer o código-fonte da coleção de ferramentas de ransomware da Conti também foi descoberto. Embora esses dados tenham sido criptografados, provavelmente poderiam ser quebrados por um pesquisador de segurança. E lá estavam eles, as joias da coroa: o criptografador, o descriptografador e o construtor. Tudo o que você precisa para examinar o ransomware Conti e analisar seus mecanismos. O código-fonte do ransomware agora está aberto.
Código-fonte do ransomware Conti descriptografado
Sabendo disso, os pesquisadores de segurança agora têm muito trabalho pela frente. Afinal, esse conhecimento também facilita o desenvolvimento de ferramentas de descriptografia. Isso também seria bom, porque o Grupo Conti não parece se esquivar de nada. Alto Golem.de Diz-se que os chats continham um parágrafo sobre o ataque de ransomware Conti em outubro de 2020 em quase 430 instalações médicas nos EUA. Diz: "Foda-se as clínicas nos Estados Unidos esta semana". E ainda: “Haverá pânico. 428 hospitais.” Mas nada disso importava para o grupo.
Mais em BleepingComputer.com