Según los informes, un investigador descontento con la declaración pública de apoyo a Rusia del grupo filtró nuevas versiones del código fuente del ransomware de Conti.
Como informó Bleeping Computer, un investigador de ciberseguridad se ofendió cuando los ciberdelincuentes dijeron públicamente que apoyaban la invasión rusa de Ucrania.
En venganza, el individuo, que se cree proviene de Ucrania, les ha estado dando a los operadores de ransomware una muestra de su propia medicina de piratería.
Conti es un grupo de ransomware de habla rusa que también opera un modelo de negocio de ransomware como servicio (RaaS). Si bien algunos pagos de ransomware se realizan en millones, Coveware estima que la demanda promedio realizada por los miembros de Conti es un poco más de $ 765,000.
Durante el fin de semana, se publicó un enlace al nuevo paquete bajo el identificador de Twitter «Conti Leaks». El código fuente ha sido subido a VirusTotal y aunque está protegido por contraseña, la información requerida para abrir el archivo está disponible para los equipos de seguridad cibernética.
Anteriormente, el individuo pro-Ucrania filtró una versión anterior del ransomware.
Robar y liberar el código fuente del ransomware brinda a los investigadores y proveedores de ciberseguridad la oportunidad de analizar el malware y, potencialmente, crear listas de denegación, defensas y descifradores. Sin embargo, por otro lado, los atacantes también podrían capturar y adaptar el código para sus propias campañas de malware.
La declaración de apoyo de Conti a la invasión rusa de Ucrania también condujo a la filtración de los registros de chat internos del grupo.
Según los registros, Conti está compuesto por personas encargadas de diferentes funciones, incluidos codificadores de malware, pruebas, administradores de sistemas y personal de ‘RR. hecha.
Los investigadores de Check Point analizaron los datos filtrados y llegaron a una conclusión interesante sobre el proceso de contratación de Conti: mientras que algunos miembros son reclutados a través de foros clandestinos, a otros ni siquiera se les dice que se están entrevistando con ciberdelincuentes. En cambio, se les dijo a algunos empleados potenciales que ayudarían en el desarrollo de software para probadores de penetración y análisis legítimos.
Conti es conocido por su devastador ataque cibernético contra el Ejecutivo del Servicio de Salud de Irlanda en mayo de 2021, y aunque el sistema de salud del país se negó a pagar los millones de dólares exigidos como pago de ransomware, los informes sugirieron que HSE está pagando una factura de más de $ 48 millones para recuperar .
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el FBI han advertido previamente a las organizaciones sobre la actividad de Conti. Se estima que cientos de organizaciones solo en los Estados Unidos han sido víctimas de Conti.
La semana pasada, Google expuso el funcionamiento interno de Exotic Lily, un corredor de acceso inicial (IAB) que vende acceso a la red a grupos de amenazas, incluidos Conti y Diavol.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
