ContiLeaks: Chat e Código-Fonte do Grupo de Ransomware Conti Vazados por Pesquisador de Cibersegurança Ucraniano
Índice:
Um dos mais ferozes atores de ransomware apoiados pela Rússia, Grupo Conti, tornou-se vítima de uma violação de dados. Em 27 de fevereiro de 2022, um misterioso membro do Twitter @ContiLeaks começou a publicar uma série de posts vinculando a arquivos com mensagens privadas e o código-fonte do Conti. Outros posts de um informante deixam bastante óbvio que ele é de origem ucraniana.
A boa notícia é que agora, quando o código-fonte do ransomware do Conti está publicamente disponível, os especialistas em cibersegurança do lado da defesa podem executar engenharia reversa e criar medidas de detecção e remediação. No entanto, por outro lado, outros adversários também podem potencialmente usar esse código para realizar seus próprios ataques.
Detecção de Ransomware Conti
A equipe da SOC Prime, apoiada pela contribuição da nossa iniciativa de crowdsourcing, vem desenvolvendo continuamente conteúdo de detecção para defender contra ataques de ransomware Conti. Você pode acessar as regras dedicadas baseadas no comportamento Sigma, juntamente com suas traduções para múltiplos formatos SIEM, EDR e XDR, ao fazer login na plataforma Detecção como Código da SOC Prime. Novos usuários precisam se inscrever na plataforma para aproveitar ao máximo o conteúdo de detecção.
Implante as seguintes regras para eliminar quaisquer chances de ransomware Conti dentro da sua rede:
- Possíveis nomes de arquivos vazados do ContiLeaks (via file_event)
- ContiLeaks Instalar Subsistema Windows Linux com Script Block PowerShell
- Comportamento de Tarefa Agendada do Grupo Ransomware Conti (ContiLeaks)
- ContiLeaks Máquina Remota via SCHTASKS do Cobalt Strike
- ContiLeaks Limpar Logs do Visualizador de Eventos do Windows com Script Block PowerShell
- ContiLeaks Despejo de Lsass sem Katz via criação de processo
Bastidores do ContiLeaks
Apenas alguns dias antes do vazamento, grupo de ransomware Conti declarou seu total apoio ao governo russo na guerra em andamento contra a Ucrânia. Os hackers também ameaçaram atacar infraestruturas críticas se alguém tentasse executar ciberataques na Rússia.
Tais declarações e ações desencadearam afiliados ucranianos dentro do Grupo Conti, incluindo um pesquisador ucraniano não identificado que vinha espionando e investigando secretamente as operações do grupo. A contramedida do apoiador ucraniano foi rápida e pesada. Os pesquisadores imediatamente começaram a vazar os materiais internos do Conti via canais públicos.
Os arquivos vazados contêm quase dois anos de mensagens internas dentro do servidor de chat privado XMPP do grupo. ContiLeaks também despejou o código-fonte da API BazarBackdoor do Conti, painel de administração, builder, encryptor, e decryptor do seu ransomware. Outros pesquisadores de segurança juntaram-se ao movimento ao quebrar as senhas para arquivos protegidos e traduzir as mensagens de chat para o inglês.
Notavelmente, depois que o mundo viu a sujeira de um ator de ameaça russo, o Conti inverteu completamente sua retórica dizendo em seu site que “condenam a guerra”. No entanto, a nova declaração do Conti não convenceu o pesquisador ucraniano que continua vazando dados sensíveis.
Plataforma SOC Prime reuniu mais de 400 proeminentes profissionais de cibersegurança que criam detecções oportunas para ciberataques de qualquer nível de sofisticação. Nosso conteúdo de detecção pode ser implantado em mais de 25 plataformas SIEM, EDR e XDR e é utilizado por milhares de organizações respeitáveis globalmente. Nossa comunidade recebe profissionais de InfoSec que desejam participar na construção de defesas contra exploits conhecidos e emergentes. Ao aderir à iniciativa de crowdsourcing da SOC Prime, pesquisadores e desenvolvedores de conteúdo de todo o mundo podem enviar suas detecções, receber recompensas recorrentes e ganhar reconhecimento entre seus pares no domínio cibernético.
