ContiLeaks: El chat y el código fuente del grupo de ransomware Conti filtrados por investigador de ciberseguridad ucraniano

[post-views]
marzo 08, 2022 · 3 min de lectura
ContiLeaks: El chat y el código fuente del grupo de ransomware Conti filtrados por investigador de ciberseguridad ucraniano

Uno de los actores de ransomware más feroces respaldados por Rusia, Conti Group, se ha convertido en víctima de una violación de datos. El 27 de febrero de 2022, un misterioso miembro de Twitter @ContiLeaks comenzó a publicar una serie de publicaciones enlazando a archivos con mensajes privados y el código fuente de Conti. Otras publicaciones de un denunciante hacen bastante obvio que es de origen ucraniano.

La buena noticia es que ahora, cuando el código fuente del ransomware de Conti está disponible públicamente, los expertos en ciberseguridad en el lado de la defensa pueden realizar ingeniería inversa y crear medidas de detección y remediación. Sin embargo, por otro lado, otros adversarios también podrían usar este código para aprovechar sus propios ataques.

Detección de Ransomware Conti

El equipo de SOC Prime respaldado por la contribución de nuestra iniciativa de crowdsourcing ha estado desarrollando continuamente contenido de detección para defenderse de los ataques de ransomware de Conti. Puede acceder a las reglas dedicadas basadas en comportamiento de Sigma junto con sus traducciones a múltiples formatos SIEM, EDR y XDR una vez que inicie sesión en su cuenta en la plataforma Detection as Code de SOC Prime. Los nuevos usuarios deben registrarse en la plataforma para aprovechar al máximo el contenido de detección.

Implemente las siguientes reglas para eliminar cualquier posibilidad de ransomware Conti dentro de su red:

Detrás de las Escenas de ContiLeaks

Solo un par de días antes de la filtración, el grupo de ransomware Conti declaró su total apoyo al gobierno ruso en la guerra en curso contra Ucrania. Los hackers también amenazaron con atacar infraestructuras críticas si alguien intentaba ejecutar ciberataques contra Rusia.

Tales declaraciones y acciones desencadenaron que afiliados ucranianos dentro del Conti Group, incluido un investigador ucraniano anónimo que ha estado husmeando e investigando las operaciones de la banda en secreto. La contramedida del partidario ucraniano fue rápida y dura. Los investigadores comenzaron inmediatamente a filtrar los internos de Conti a través de canales públicos.

Los archivos filtrados contienen casi dos años de mensajes internos dentro del servidor de chat privado XMPP de la banda. ContiLeaks también vertió el código fuente para la API BazarBackdoor de Conti, el panel de administración, el constructor, el encriptador, y el desencriptador de su ransomware. Otros investigadores de seguridad se han unido al movimiento al descifrar las contraseñas de los archivos protegidos y traducir los mensajes de chat al inglés.

Notablemente, después de que el mundo ha visto los trapos sucios de un actor de amenazas ruso, Conti revirtió completamente su retórica diciendo en su sitio web que “condenan la guerra”. Sin embargo, la nueva declaración de Conti no ha convencido al investigador ucraniano que continúa filtrando datos sensibles.

Plataforma SOC Prime ha reunido a más de 400 destacados profesionales de ciberseguridad que crean detecciones oportunas para ciberataques de cualquier nivel de sofisticación. Nuestro contenido de detección puede ser implementado en más de 25 plataformas SIEM, EDR, y XDR y es utilizado por miles de organizaciones respetables a nivel mundial. Nuestra comunidad da la bienvenida a profesionales de InfoSec que deseen participar en la construcción de defensas contra exploits conocidos y emergentes. Al unirse a la iniciativa de crowdsourcing de SOC Prime, investigadores y desarrolladores de contenido de todo el mundo pueden enviar sus detecciones, recibir recompensas recurrentes y ganar reconocimiento entre sus pares en el ámbito cibernético.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias