Un grupo de ransomware pagó el precio por respaldar a Rusia
Un investigador ucraniano continúa dando golpes devastadores a la banda de ransomware Conti. Inició filtrando las conversaciones internas, ahora filtró el código fuente del ransomware, paneles administrativos y más.
Ha sido una semana bastante mala para Conti después de que se pusieron del lado de Rusia en la invasión a Ucrania. Su postura molestó a los afiliados ucranianos y a un investigador que ha estado husmeando en secreto en su operación.
El domingo, un investigador ucraniano que usó el identificador de Twitter @ContiLeaks filtró 393 archivos JSON. Los archivos contenían más de 60,000 mensajes internos de la banda de ransomware Conti y Ryuk.
Estas conversaciones comprenden desde enero de 2021 a febrero de 2022 y proporcionaron un tesoro de información sobre la organización de ciberdelito. Entre la valiosa información destacan las direcciones de bitcoin, organización de la banda, métodos para evadir las autoridades, cómo realizan sus ataques, y mucho más.
El lunes, el investigador siguió filtrando más datos dañinos de Conti, incluidos 148 archivos JSON adicionales. Estos archivos contenían 107,000 mensajes internos desde junio de 2020, que es aproximadamente cuando se lanzó por primera vez la banda de ransomware Conti.
Más datos…
ContiLeaks publicó más datos, incluido el código fuente del panel administrativo de la banda, la API de BazarBackdoor, capturas de pantalla de los servidores de almacenamiento y más.
Sin embargo, una parte de la filtración que entusiasmó a la gente fue un archivo protegido con contraseña. El archivo contenía el código fuente del cifrador, descifrador y constructor del ransomware Conti.
Si bien el filtrador no compartió la contraseña públicamente, otro investigador pronto la descifró. Esto le permitió acceder al código fuente de los archivos de malware del ransomware Conti.
Si realizamos ingeniería inversa, es posible que el código fuente no proporcione información adicional. Sin embargo, el código fuente proporciona una gran comprensión de cómo funciona el malware para aquellos que pueden programar en C, pero no necesariamente aplicar ingeniería inversa.
Si bien esto es bueno para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes.
Como vimos cuando se lanzó HiddenTear (por “razones educativas”) y el código fuente del ransomware Babuk, los ciberdelincuentes usaron rápidamente el código para iniciar sus propias operaciones.
Con un código tan estricto y limpio como la operación del ransomware Conti, deberíamos esperar que otros ciberdelincuentes intenten lanzar sus propias operaciones criminales utilizando el código fuente filtrado.
Sin embargo, lo que puede ser más útil son las APIs de BazarBackdoor y el código fuente del servidor de comando y control de TrickBot que se liberó. Esto porque no hay forma de acceder a esa información sin tener acceso a la infraestructura del actor de amenazas.
Impacto de las filtraciones
En cuanto a Conti, tendremos que esperar y ver si esta “filtración de datos” tiene un gran impacto en su funcionamiento.
Este ha sido un golpe significativo para la reputación del grupo que puede hacer que los afiliados se trasladen a otra operación de ransomware.
Pero, al igual que todas las empresas, y no se puede negar que Conti funciona como una empresa, las filtraciones de datos ocurren todo el tiempo.
