Um pesquisador de segurança ucraniano vazou mais código-fonte da operação de ransomware Conti para protestar contra a posição da gangue sobre o conflito.

O ataque contra o ransomware Conti e o vazamento de dados é uma retaliação por seu apoio à invasão russa da Ucrânia.

O ataque terá um impacto significativo na operação da quadrilha, considerando também que muitos dos afiliados de Conti são grupos ucranianos.

Recentemente, um pesquisador ucraniano vazou 60.694 mensagens  de bate- papo interno pertencentes à operação de ransomware Conti após o anúncio do grupo de seu apoio à Rússia. Ele conseguiu acessar o servidor de bate-papo XMPP do banco de dados do grupo Conti.

Em uma segunda rodada, o especialista vazou o antigo código-fonte do criptografador, descriptografador e construtor do ransomware Conti, junto com o painel administrativo e a  API BazarBackdoor. O código-fonte do ransomware Conti antigo vazado é datado de 15 de setembro de 2020.

https://t.co/fndSSAY9Bs – conti source without locker src.

— conti leaks (@ContiLeaks) March 1, 2022

O código-fonte do ransomware está contido em um arquivo protegido por senha, apesar de o pesquisador não ter vazado a senha, outro especialista a decifrou e a compartilhou.

A disponibilidade pública do código-fonte pode destruir temporariamente a operação do ransomware Conti porque especialistas em segurança podem realizar engenharia reversa para determinar como ele funciona e desenvolver um trabalho descriptografado.

Por outro lado, outros agentes de ameaças podem realizar engenharia reversa para desenvolver sua própria versão da ameaça, uma circunstância que se abre para cenários preocupantes.

Agora, o pesquisador de segurança ucraniano vazou o código-fonte de malware mais recente da operação de ransomware Conti, o código é datado de 25 de janeiro de 2021.

O código parece ser mais recente do que o vazamento anterior, de acordo com o Bleeping Computer Conti Leaks carregou o código-fonte do Conti versão 3 para o VirusTotal e compartilhou um link no Twitter.

source conti v3. https://t.co/1dcvWYpsp7

— conti leaks (@ContiLeaks) March 20, 2022

“O código-fonte compila sem erros e pode ser facilmente modificado por outros agentes de ameaças para usar suas próprias chaves públicas ou adicionar novas funcionalidades.” relatou BleepingComputer. “BleepingComputer compilou o código-fonte sem problemas, criando os executáveis ​​cryptor.exe, cryptor_dll.dll e decryptor.exe.”

A disponibilidade pública do código-fonte pode destruir temporariamente a operação do ransomware Conti porque especialistas em segurança podem realizar engenharia reversa para determinar como ele funciona e desenvolver um trabalho descriptografado.

Por outro lado, outros agentes de ameaças podem realizar engenharia reversa para desenvolver sua própria versão da ameaça, uma circunstância que se abre para cenários preocupantes.

Recentemente, o código-fonte do ransomware Babuk vazou online e os agentes de ameaças exploraram sua disponibilidade para lançar suas próprias operações, como o Rook

Em poucos dias,  outros agentes de ameaças usaram o código-fonte  para seu uso e novas operações de ransomware foram lançadas, como o  Rook ransomware.

 

Fonte: Security Affairs