ContiLeaks: Gruppo Ransomware Conti – Chat e Codice Sorgente Trapelate da un Ricercatore di Sicurezza Informatica Ucraino

Uno degli attori ransomware più feroci sostenuti dalla Russia, Conti Group, è diventato vittima di una violazione dei dati. Il 27 febbraio 2022, un misterioso membro di Twitter @ContiLeaks ha iniziato a pubblicare una serie di post collegati ad archivi con messaggi privati e il codice sorgente di Conti. Altri post di un informatore rendono abbastanza evidente che è di origine ucraina.

La buona notizia è che ora, avendo il codice sorgente per il ransomware di Conti disponibile pubblicamente, gli esperti di cybersicurezza sul lato della difesa possono effettuare il reverse engineering e creare misure di rilevamento e rimedio. Tuttavia, di contro, altri adversari possono anche potenzialmente utilizzare questo codice per avviare propri attacchi.

Rilevamento del Ransomware Conti

Il team di SOC Prime supportato dal contributo della nostra iniziativa di crowdsourcing ha sviluppato continuamente contenuti di rilevamento per difendersi dagli attacchi ransomware di Conti. Puoi accedere alle regole di comportamento basate su Sigma dedicate insieme alle loro traduzioni in più formati SIEM, EDR & XDR una volta effettuato l’accesso al tuo account sulla piattaforma Detection as Code di SOC Prime. I nuovi utenti devono registrarsi alla piattaforma per sfruttare al massimo i contenuti di rilevamento.

Distribuisci le seguenti regole per eliminare ogni possibilità di ransomware Conti all’interno della tua rete:

• Possibili nomi di file trapelati di ContiLeaks (tramite file_event)
• ContiLeaks Installa Windows Subsystem Linux con PowerShell Script Block
• Comportamento del Compito Programmato del Gruppo Ransomware Conti (ContiLeaks)
• ContiLeaks Macchina Remota tramite SCHTASKS da Cobalt Strike
• ContiLeaks Cancella i Log del Visualizzatore Eventi di Windows con PowerShell Script Block
• ContiLeaks Esegue il Dump di Lsass senza Katz tramite creazione processo

Dietro le Quinte di ContiLeaks

Solo un paio di giorni prima della perdita, il gruppo ransomware Conti ha dichiarato il loro pieno supporto al governo russo nella guerra in corso contro l’Ucraina. Gli hacker hanno anche minacciato di attaccare infrastrutture critiche se qualcuno tentava di eseguire attacchi informatici contro la Russia.

Tali dichiarazioni e azioni hanno innescato affiliati ucraini all’interno del Conti Group, incluso un anonimo ricercatore ucraino che ha spiato e investigato segretamente le operazioni della gang. La contromisura del sostenitore ucraino è stata rapida e dura. I ricercatori hanno iniziato immediatamente a divulgare i dettagli interni di Conti tramite canali pubblici.

I file trapelati contengono quasi due anni di messaggi interni all’interno del server di chat XMPP privato della gang. ContiLeaks ha anche rilasciato il codice sorgente per l’API BazarBackdoor di Conti, il pannello amministrativo, il builder, l’encryptor, e il decryptor per il loro ransomware. Altri ricercatori di sicurezza si sono uniti al movimento decifrando le password degli archivi protetti e traducendo i messaggi di chat in inglese.

In particolare, dopo che il mondo ha visto il lato nascosto di un attore di minacce russo, Conti ha completamente invertito la sua retorica dicendo sul loro sito web che “condannano la guerra”. Tuttavia, la nuova dichiarazione di Conti non ha convinto il ricercatore ucraino che continua a divulgare dati sensibili.

La Piattaforma SOC Prime ha riunito oltre 400 professionisti della cybersicurezza di spicco che creano rilevamenti tempestivi per attacchi informatici di qualsiasi livello di sofisticazione. I nostri contenuti di rilevamento possono essere distribuiti su oltre 25 piattaforme SIEM, EDR e XDR e vengono utilizzati da migliaia di organizzazioni rispettabili a livello globale. La nostra community accoglie professionisti della sicurezza informatica che vogliono partecipare alla costruzione di difese contro exploit noti e emergenti. Unendosi all’iniziativa di crowdsourcing di SOC Prime, i ricercatori e gli sviluppatori di contenuti di tutto il mondo possono inviare i loro rilevamenti, ricevere ricompense ricorrenti e ottenere riconoscimento tra i loro pari nel dominio cyber.