ContiLeaks: 우크라이나 사이버 보안 연구자가 유출한 Conti 랜섬웨어 그룹의 채팅과 소스 코드

가장 격렬한 러시아 지원 랜섬웨어 그룹 중 하나인, Conti 그룹이 데이터 유출의 희생양이 되었습니다. 2022년 2월 27일, 정체불명의 트위터 사용자 @ContiLeaks 가 Conti의 사설 메시지 및 소스 코드에 대한 아카이브에 연결된 일련의 게시물을 게시하기 시작했습니다. 내부 고발자의 다른 게시물은 그가 우크라이나 출신임을 명확히 제시합니다.

좋은 소식은 Conti 랜섬웨어의 소스 코드가 공개되어, 방어 측의 사이버 보안 전문가들이 리버스 엔지니어링을 수행하고 탐지 및 완화 조치를 만들 수 있다는 것입니다. 하지만, 반대로 다른 적대자들도 이 코드를 사용하여 자신들의 공격에 활용할 수 있습니다.

Conti 랜섬웨어 탐지

크라우드소싱 이니셔티브의 기여로 후원받아 SOC Prime의 팀은 Conti 랜섬웨어 공격에 맞서 탐지 콘텐츠를 지속적으로 개발해오고 있습니다. SOC Prime의 탐지 코드 플랫폼에 로그인하면 다중 SIEM, EDR & XDR 형식으로 번역된 전용 Sigma 행동 기반 규칙에 액세스할 수 있습니다. 새 사용자는 탐지 콘텐츠를 최대한 활용하기 위해 플랫폼에 가입해야 합니다.

다음 규칙을 배포하여 네트워크 내의 Conti 랜섬웨어 의 존재 가능성을 제거하십시오:

• ContiLeaks 유출 가능 파일명 (파일 이벤트 통해)
• ContiLeaks 파워셸 스크립트 블록으로 Windows Subsystem Linux 설치
• Conti 랜섬웨어 그룹의 예약된 작업 동작 (ContiLeaks)
• Cobalt Strike를 통한 SCHTASKS 원격 머신 (ContiLeaks)
• ContiLeaks 파워셸 스크립트 블록으로 Windows 이벤트 뷰어 로그 지우기
• ContiLeaks가 Katz 없이 Lsass 덤프 (프로세스 생성 통해)

ContiLeaks의 배후

유출 몇일 전, Conti 랜섬웨어 그룹 은 우크라이나와의 전쟁에서 러시아 정부를 완전히 지지한다고 선언했습니다. 해커들은 또한 누구든지 러시아에 사이버 공격을 감행하려 할 경우 주요 기반 시설을 공격하겠다고 위협했습니다.

이러한 발언과 행동은 Conti 그룹 내 우크라이나 연합원을 자극했으며, 그 안에는 갱의 운영을 비밀리에 염탐하고 조사해온 우크라이나 연구원이 있었습니다. 우크라이나 지지자의 대응은 즉각적이고 거칠었습니다. 연구원들은 즉시 공공 채널을 통해 Conti의 내부 정보를 유출하기 시작했습니다.

유출된 파일들은 갱의 사설 XMPP 채팅 서버 내부 메시징의 거의 2년치를 포함하고 있습니다. ContiLeaks는 Conti의 BazarBackdoor API, 관리자 패널, 빌더, 암호화기와 랜섬웨어의 해독기도 덤프했습니다. 다른 보안 연구원들은 비밀번호를 해독하여 보호된 아카이브를 깨고, 채팅 메시지를 영어로 번역함으로써 이 운동에 동참했습니다.

특히 세계가 러시아 위협 행위자의 치부를 보고 나서, Conti는 웹사이트에서 전쟁을 비난한다고 발표하며 완전히 그들의 수사를 반전했습니다. 그러나 Conti의 새로운 성명은 민감한 데이터를 계속 유출하는 우크라이나 연구원을 설득하지 못했습니다.

SOC Prime 플랫폼 은 어떤 수준의 사이버 공격에도 적시에 탐지를 만드는 400명 이상의 저명한 사이버 보안 전문가를 모았습니다. 저희 탐지 콘텐츠는 25개 이상의 SIEM, EDR, XDR 플랫폼에서 전 세계의 수천 개의 평판 좋은 조직에 의해 배포됩니다. 저희 커뮤니티는 알려진 취약점과 신흥 취약점에 맞서 방어를 구축하려는 InfoSec 전문가들을 환영합니다. 참여함으로써 SOC Prime의 크라우드소싱 이니셔티브, 전 세계의 연구원들과 콘텐츠 개발자들은 탐지를 제출하고 정기적인 보상을 받으며, 사이버 도메인에서 그들의 동료들 사이에서 인정을 받을 수 있습니다.