Weitere Conti-Ransomware-Quellcode-Lecks online, während die Ukraine-Russland-Invasion fortschreitet
Die Conti-Ransomware -Gang machte in den letzten Wochen Schlagzeilen, aber in gewisser Weise hatten nur wenige damit gerechnet. Nachdem die Bande eine eifrige pro-russische Botschaft zur offensichtlichen Unterstützung des Krieges in der Ukraine veröffentlicht hatte, ließ ein Mitglied der Gruppe, das mit der Ukraine sympathisierte, erhebliche Mengen interner Korrespondenz von Conti-Mitgliedern sowie den Quellcode älterer Versionen der Ransomware durchsickern.
Nun hat die Person, die den Twitter-Account namens ContiLeaks verwaltet, weitere Leaks veröffentlicht, darunter Quellcode neuerer Versionen der Ransomware der Gruppe.
Wer ist die Conti-Crew?
Conti ist ein Kreis russischsprachiger Cyberkrimineller, der in den letzten Jahren eine Reihe erfolgreicher Ransomware- Angriffe mit geschätzten Auszahlungen in Millionenhöhe erzielt hat.
Der neu veröffentlichte Quellcode, der vom ContiLeaks-Konto auf Twitter geleakt wurde, wurde bereits auf VirusTotal hochgeladen. Das Paket ist passwortgeschützt, aber das Passwort wurde auch zur Verfügung gestellt.
Das letzte verfügbare Quellcode-Leck scheint mit einem Zeitstempel von Anfang 2021 erheblich jünger zu sein. Obwohl dieses Datum noch vor einem Jahr liegt, ist dieses Leck viel jünger als der zuvor verfügbare Quellcode.
Die zuvor durchgesickerten internen Chatprotokolle der Conti-Mitglieder waren zu umfangreich, um sie schnell zu analysieren, aber Sicherheitsforscher haben sie nach und nach auseinander genommen. Weitere Analysen beleuchten die interne Struktur der Ransomware-Bande und zeigen, dass sie ähnlich wie ein normales Unternehmen arbeiten, mit verschiedenen Abteilungen, die für unterschiedliche Aufgaben verantwortlich sind. Diese reichen von der Einstellung neuer Mitarbeiter über die Erstellung von Malware-Code bis hin zu Verhandlungen mit Opfern, um schließlich sicherzustellen, dass die Zahlungen erfolgen.
Kommen noch weitere Leaks?
Eine seltsame Eigenart, die von Check Point-Forschern, die die Chatprotokolle analysieren entdeckt wurde, ist dass eine Reihe von Leuten, die schließlich für Conti arbeiteten, tatsächlich normal eingestellt wurden, ohne zu bemerken, dass sie von Kriminellen rekrutiert wurden. Diese unglücklichen Mitarbeiter wurden zu dem Glauben verleitet , dass sie legitime Arbeit an Tools für Penetrationstests von Netzwerken leisteten.
Es ist nicht absehbar, ob noch weitere Leaks folgen werden, aber die Person, die den Twitter-Account betreibt, verspricht nach dem ersten Leak viel mehr und scheint bisher Wort zu halten. Ob der aktuellere Quellcode bei der Erstellung von Entschlüsselungstools für die aktuellen Versionen der Ransomware hilft, ist ebenfalls nicht klar.