En säkerhetsforskare som är förolämpad över Conti ransomwares stöd till den ryska regeringen har regelbundet läckt sina data.
Trove-datan innehöll Conti ransomwares interna meddelanden, bakdörrs-API:er för skadlig programvara, servrar skärmdumpar och källkoden för deras skadlig programvara byggare, kryptering och dekryptering. Alla dessa är nu offentliga och kan användas av andra hotaktörer för att göra sin egen ransomware.
Läckande Conti Ransomware-källkod
Förra månaden hade Conti ransomware som ställde sig på Rysslands sida i dess krig mot Ukraina provocerat många medlemsförbund, särskilt de ukrainska. När de uttrycker klagomål i underjordiska forum har en säkerhetsforskare som har spårat Conti-gänget ett tag beslutat att avslöja ransomwarens hemligheter för allmänheten.
BRYTNING: @HoldSecurity berättar för mig att Contis system har infiltrerats av cyberbrottsforskare under en tid. Uppgifterna dumpades av en ukrainsk cybersäkerhetsforskare som var förbannad efter att Conti uttryckt stöd för Ryssland i konflikten. #infosäkerhet
— Ransomware-filerna (@ransomwarefiles) 28 februari 2022
På söndagen började han dela en mängd data som tillhörde Conti ransomware på Twitter genom sin @ContiLeaks hantera. Han läckte till en början 393 JSON-filer innehållande över 60 000 interna meddelanden från den privata XMPP-chattservern för Conti och Ryuk ransomware-gäng.
Läs också – Torkare och skadlig programvara från masken upptäckts i Ukrainas regeringssystem
Alla dessa meddelanden var från 21 januari 2021 till 27 februari 2022 och har känsliga detaljer som Conti-gängets modus operandi, bitcoin-adresser, planer på att undvika brottsbekämpning, etc.
Redan nästa dag fortsatte mer data att strömma in i form av 148 ytterligare JSON-filer med över 107 000 interna meddelanden sedan juni 2020 – en tid då Conti ransomware startade sin verksamhet.
Dessa inkluderar även gängets källkod för gängets administrativa panel, BazarBackdoor API, skärmdumpar av lagringsservrar, etc.. Men det som är riktigt spännande bland dem är ett lösenordsskyddat arkiv som innehåller Conti ransomwares källkod, kryptering, dekryptering och byggare.
Läs också – Meta borttagen 40 falska ryska konton sprider felaktig information
Även om den är skyddad, lyckades en annan forskare bryta upp den och publicera koden för allmänheten! Eftersom alla dessa skapade bråk i Conti ransomware, kan vi se många av dess affiliates migrera till andra ransomware-grupper.
Även om data som läckt nu påverkar Conti-gänget, kan detta visa sig vara dåligt för säkerhetsgemenskapen, eftersom vi snart kan se fler hotaktörer använda denna publicerade källkod för att bygga sin egen ransomware-verksamhet.