Ένας Ουκρανός ερευνητής συνεχίζει να δημιουργεί προβλήματα στη ransomware συμμορία Conti, δημοσιεύοντας και άλλες εσωτερικές συνομιλίες, καθώς και το source code του ransomware.
Δείτε επίσης: H Nvidia επιβεβαιώνει παραβίαση δεδομένων μετά από κυβερνοεπίθεση
Η γνωστή ransomware ομάδα Conti είχε δημοσιεύσει την προηγούμενη εβδομάδα μια δήλωση που έλεγε ότι τάσσεται στο πλευρό της Ρωσίας στο θέμα της εισβολής στην Ουκρανία. Λίγο αργότερα, έβγαλε μια άλλη ανακοίνωση που έλεγε ότι η ομάδα δεν συμμαχεί με καμιά κυβέρνηση και ότι καταδικάζει τον πόλεμο. Ωστόσο, ένας Ουκρανός ερευνητής που κατασκοπεύει κρυφά τη λειτουργία των hackers, προφανώς αναστατώθηκε από αυτές τις δηλώσεις και αποφάσισε να εκθέσει δεδομένα της ομάδας.
Την Κυριακή, ο Ουκρανός ερευνητής διέρρευσε 393 JSON files που περιείχαν πάνω από 60.000 εσωτερικά μηνύματα, που ελήφθησαν από το private XMPP chat server της ομάδας.
Οι συνομιλίες αυτές έγιναν μεταξύ 21 Ιανουαρίου 2021 και 27 Φεβρουαρίου 2022 και περιείχαν σημαντικές πληροφορίες, όπως διευθύνσεις bitcoin, πληροφορίες για επιθέσεις κλπ.
Τη Δευτέρα, ο ερευνητής συνέχισε να εκθέτει κι άλλα δεδομένα της Conti. Συγκεκριμένα, διέρρευσε άλλα 148 JSON files που περιέχουν 107.000 εσωτερικά μηνύματα από τον Ιούνιο του 2020. Τότε περίπου ξεκίνησε τη λειτουργία της η ransomware συμμορία Conti.
Ο ερευνητής διέρρευσε και τον source code για το administrative panel της συμμορίας, το BazarBackdoor API, screenshots από storage servers και πολλά άλλα.
Δείτε επίσης: Το TeaBot trojan “πέρασε” ξανά στο Play Store και στοχεύει χρήστες σε όλο τον κόσμο
Ωστόσο, αυτό που τράβηξε την προσοχή ήταν ένα αρχείο προστατευμένο με κωδικό πρόσβασης που περιείχε τον source code για τα Conti ransomware encryptor, decryptor και builder.
Ενώ ο Ουκρανός ερευνητής που διέρρευσε τα δεδομένα, δεν κοινοποίησε τον κωδικό πρόσβασης δημόσια, ένας άλλος ερευνητής τον έσπασε σύντομα, δίνοντας σε όλους πρόσβαση στον source code του Conti ransomware.
Αν και η διαρροή βοηθά την έρευνα, η διαθεσιμότητα αυτού του κώδικα έχει τα μειονεκτήματά της.
Όταν κυκλοφόρησε ο source code του HiddenTear (για “εκπαιδευτικούς λόγους”) και του Babuk ransomware, οι φορείς απειλών άρχισαν γρήγορα να συλλέγουν τον κώδικα για να ξεκινήσουν τις δικές τους κακόβουλες επιχειρήσεις. Το ίδιο αναμένεται να συμβεί και τώρα.
Δείτε επίσης: Microsoft: Η Ουκρανία δέχτηκε επιθέσεις από το FoxBlade malware πριν την εισβολή
Οι διαρροές των εσωτερικών μηνυμάτων και του source code ήταν σίγουρα ένα σημαντικό πλήγμα για την ομάδα και τη φήμη της. Πολλοί συνεργάτες (affiliates) μπορεί να εγκαταλείψουν την ομάδα και να στραφούν αλλού. Μένει να δούμε αν αυτό το περιστατικό θα έχει όντως κάποια σημαντική επίπτωση στη συμμορία.
Πηγή: Bleeping Computer