Ένας δυσαρεστημένος συνεργάτης του Conti ransomware διέρρευσε το εκπαιδευτικό υλικό της συμμορίας κατά τη διεξαγωγή επιθέσεων, συμπεριλαμβανομένων πληροφοριών σχετικά με έναν από τους χειριστές του ransomware.
Η λειτουργία Conti Ransomware εκτελείται ως ransomware-as-a-service (RaaS), όπου η βασική ομάδα διαχειρίζεται το κακόβουλο λογισμικό και τους ιστότοπους Tor, ενώ οι συνεργαζόμενοι συνεργάτες εκτελούν παραβιάσεις δικτύου και κρυπτογραφούν συσκευές.
Δείτε επίσης: CISA: Συνεργασία με Microsoft, Google, Amazon για την καταπολέμηση του ransomware
Δείτε επίσης: Ο ενεργειακός όμιλος ERG δέχτηκε επίθεση ransomware
Ως μέρος αυτής της ρύθμισης, η βασική ομάδα κερδίζει το 20-30% από τα λύτρα, ενώ οι θυγατρικές κερδίζουν το υπόλοιπο.
Σήμερα, ένας ερευνητής ασφαλείας κοινοποίησε μια δημοσίευση που δημιουργήθηκε από έναν θυμωμένο συνεργάτη του Conti ransomware, ο οποίος διέρρευσε δημόσια πληροφορίες σχετικά με τη λειτουργία ransomware. Αυτές οι πληροφορίες περιλαμβάνουν τις διευθύνσεις IP για τους servers Cobalt Strike C2 και ένα αρχείο 113 MB που περιέχει πολλά εργαλεία και εκπαιδευτικό υλικό για τη διεξαγωγή επιθέσεων ransomware.
Ο συνεργάτης είπε ότι δημοσίευσε το υλικό καθώς πληρώθηκε μόνο 1.500 $ ως μέρος μιας επίθεσης, ενώ η υπόλοιπη ομάδα κερδίζει εκατομμύρια και υπόσχεται μεγάλες πληρωμές αφού το θύμα πληρώσει λύτρα.
Επισυνάπτονται στην παραπάνω ανάρτηση εικόνες από beacon configurations Cobalt Strike που περιέχουν τις διευθύνσεις IP για command and control servers που χρησιμοποιούνται από τη συμμορία ransomware.
Σε ένα tweet από τον ερευνητή ασφάλειας Pancak3, συνιστάται όλοι να αποκλείσουν αυτές τις διευθύνσεις IP για να αποτραπούν οι επιθέσεις από την ομάδα.
Σε μια επόμενη ανάρτηση, ο συνεργάτης μοιράστηκε ένα αρχείο που περιέχει 111 MB αρχείων, συμπεριλαμβανομένων εργαλείων hacking, εγχειριδίων γραμμένων στα ρωσικά, εκπαιδευτικό υλικό και έγγραφα βοήθειας που φέρονται να παρέχονται σε συνεργάτες κατά την εκτέλεση επιθέσεων Conti ransomware.
Δείτε επίσης: Σύστημα καταγραφής εμβολίων στην Ιταλία δέχτηκε επίθεση ransomware
Ένας ερευνητής ασφαλείας κοινοποιήσε ένα screenshot αυτού του εξαγόμενου φακέλου με το BleepingComputer. Eίπe ότι περιέχει ένα εγχειρίδιο για την ανάπτυξη του Cobalt Strike, το mimikatz για την απόρριψη NTLM hashes και πολλά άλλα text files γεμάτα με διάφορες εντολές.
Ο Vitali Kremez της Advanced Intel, ο οποίος είχε ήδη αναλύσει το αρχείο, είπε στο BleepingCompter ότι το εκπαιδευτικό υλικό ταιριάζει με τα ενεργά περισταστικά Conti.
Πηγή πληροφοριών: bleepingcomputer.com
