Un investigador de seguridad agraviado por el apoyo del ransomware Conti al gobierno ruso ha estado filtrando sus datos regularmente.
Los datos ocultos contenían los mensajes internos del ransomware Conti, las API de malware de puerta trasera, las capturas de pantalla de los servidores y el código fuente para su generador de malware, encriptador y desencriptador. Todos estos ahora son públicos y podrían ser utilizados por otros actores de amenazas para crear su propio ransomware.
Fuga del código fuente de Conti Ransomware
El mes pasado, el ransomware Conti del lado de Rusia en su guerra contra Ucrania había provocado a muchos afiliados, especialmente a los ucranianos. Mientras expresan sus quejas en foros clandestinos, un investigador de seguridad que ha estado rastreando a la pandilla Conti durante un tiempo ha decidido exponer los secretos del ransomware al público.
ROTURA: @HoldSecurity me dice que los sistemas de Conti han sido infiltrados por investigadores de delitos cibernéticos durante algún tiempo. Los datos fueron arrojados por un investigador de seguridad cibernética ucraniano enojado después de que Conti expresara su apoyo a Rusia en el conflicto. #infoseguridad
— Los archivos de ransomware (@ransomwarefiles) 28 de febrero de 2022
El domingo, comenzó a compartir una gran cantidad de datos pertenecientes al ransomware Conti en Twitter a través de su @ContiLeaks manejar. Inicialmente filtró 393 archivos JSON que contenían más de 60 000 mensajes internos del servidor de chat privado XMPP de las pandillas de ransomware Conti y Ryuk.
Lea también: limpiaparabrisas y gusanos maliciosos detectados en los sistemas gubernamentales de Ucrania
Todos esos mensajes fueron del 21 de enero de 2021 al 27 de febrero de 2022 y tienen detalles sensibles como el modus operandi de la pandilla Conti, direcciones de bitcoin, planes para evadir la aplicación de la ley, etc.
Al día siguiente, siguieron llegando más datos en forma de 148 archivos JSON adicionales con más de 107 000 mensajes internos desde junio de 2020, momento en que el ransomware Conti comenzó a funcionar.
Estos también incluyen el código fuente de la pandilla para el panel administrativo de la pandilla, la API de BazarBackdoor, capturas de pantalla de los servidores de almacenamiento, etc.. Sin embargo, lo que es realmente emocionante entre ellos es un archivo protegido por contraseña que contiene el código fuente, el cifrador, el descifrador y el generador del ransomware Conti.
Lea también: Meta eliminó 40 cuentas rusas falsas que difundían información errónea
¡Aunque está protegido, otro investigador logró abrirlo y publicar el código para el público! Como todos estos crearon alborotos en el ransomware Conti, es posible que veamos a muchos de sus afiliados migrar a otros grupos de ransomware.
Aunque los datos filtrados ahora afectan a la pandilla Conti, esto podría resultar perjudicial para la comunidad de seguridad, ya que es posible que pronto veamos más actores de amenazas que utilizan este código fuente publicitado para crear sus propias operaciones de ransomware.
