Más código fuente del ransomware Conti se filtra en línea a medida que avanza la invasión entre Ucrania y Rusia
La pandilla de ransomware Conti fue noticia en las últimas semanas, pero de una manera que pocas personas esperaban. Después de que la pandilla publicara un celoso mensaje pro-ruso en apoyo obvio a la guerra en Ucrania, un miembro del grupo cuyas simpatías estaban con Ucrania filtró cantidades significativas de correspondencia interna de los miembros de Conti, así como el código fuente de versiones anteriores del ransomware. .
Ahora, la persona que administra la cuenta de Twitter llamada ContiLeaks ha publicado más filtraciones, incluido el código fuente de las versiones más recientes del ransomware del grupo.
¿Quiénes son la tripulación de Conti?
Conti es un círculo de ciberdelincuentes de habla rusa que ha logrado varios ataques de ransomware exitosos en los últimos años, con pagos estimados en millones de dólares.
El código fuente recién publicado filtrado por la cuenta de ContiLeaks en Twitter ya ha sido subido a VirusTotal. El paquete está protegido con contraseña, pero la contraseña también se puso a disposición.
La última fuga de código fuente disponible parece ser considerablemente más reciente, con una marca de tiempo de principios de 2021. Aunque esta fecha todavía es de hace un año, esta fuga es mucho más reciente que el código fuente disponible anteriormente.
Los registros de chat internos de los miembros de Conti que se filtraron anteriormente eran demasiado extensos para analizarlos rápidamente, pero los investigadores de seguridad los han ido separando gradualmente. Un análisis más detallado arroja luz sobre la estructura interna de la pandilla de ransomware y muestra que operan de manera similar a un negocio normal, con diferentes departamentos responsables de diferentes tareas. Estos van desde la contratación de nuevos asociados hasta la producción de código de malware y la negociación con las víctimas para garantizar que los pagos se realicen finalmente.
¿Hay más filtraciones por venir?
Una peculiaridad curiosa descubierta por los investigadores de Check Point que están analizando los registros de chat es que varias personas que terminaron trabajando para Conti en realidad fueron contratadas normalmente, sin darse cuenta de que estaban siendo reclutadas por delincuentes. A esos desafortunados empleados se les hizo pensar que estaban haciendo un trabajo legítimo en las herramientas utilizadas para las pruebas de penetración de la red.
No hay forma de saber si habrá más filtraciones por venir, pero la persona que opera la cuenta de Twitter promete mucho más después de la filtración inicial y parece cumplir su palabra hasta el momento. Tampoco está claro si el código fuente más actualizado ayudará en la creación de herramientas de descifrado para las versiones actuales del ransomware.