😎 60% Descuento:  Curso de Hacking Redes Inalámbricas >> Ver Más

Un grupo de ransomware pagó el precio por respaldar a Rusia

Un investigador ucraniano continúa dando golpes devastadores a la banda de ransomware Conti. Inició filtrando las conversaciones internas, ahora filtró el código fuente del  ransomware, paneles administrativos y más.

Ha sido una semana bastante mala para Conti después de que se pusieron  del lado de Rusia  en la invasión a Ucrania. Su postura molestó a los afiliados ucranianos y a un investigador que ha estado husmeando en secreto en su operación.

El domingo, un investigador ucraniano que usó el identificador de Twitter  @ContiLeaks filtró 393 archivos JSON. Los archivos contenían  más de 60,000 mensajes internos de la banda de ransomware Conti y Ryuk.

Estas conversaciones comprenden desde enero de 2021 a febrero de 2022 y proporcionaron un tesoro de información sobre la organización de ciberdelito. Entre la valiosa información destacan las direcciones de bitcoin, organización de la banda, métodos para evadir las autoridades, cómo realizan sus ataques, y mucho más.

El lunes, el investigador siguió filtrando más datos dañinos de Conti, incluidos 148 archivos JSON adicionales. Estos archivos contenían 107,000 mensajes internos desde junio de 2020, que es aproximadamente cuando  se lanzó por primera vez la banda  de ransomware Conti.

Más conversaciones internas filtradas

Más datos…

ContiLeaks publicó más datos, incluido el código fuente del panel administrativo de la banda, la API de BazarBackdoor, capturas de pantalla de los servidores de almacenamiento y más.

Sin embargo, una parte de la filtración que entusiasmó a la gente fue un archivo protegido con contraseña. El archivo contenía el código fuente del cifrador, descifrador y constructor del ransomware Conti.

Si bien el filtrador no compartió la contraseña públicamente, otro investigador pronto la descifró. Esto le permitió acceder al código fuente de los archivos de malware del ransomware Conti.

Código fuente de Conti para cifrar un archivo

Si realizamos ingeniería inversa, es posible que el código fuente no proporcione información adicional. Sin embargo, el código fuente proporciona una gran comprensión de cómo funciona el malware para aquellos que pueden programar en C, pero no necesariamente aplicar ingeniería inversa.

Si bien esto es bueno para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes.

Como vimos cuando se lanzó HiddenTear (por “razones educativas”) y el código fuente del ransomware Babuk, los ciberdelincuentes usaron rápidamente el código para iniciar sus propias operaciones. 

Con un código tan estricto y limpio como la operación del ransomware Conti, deberíamos esperar que otros ciberdelincuentes intenten lanzar sus propias operaciones criminales utilizando el código fuente filtrado.

Sin embargo, lo que puede ser más útil son las APIs de BazarBackdoor y el código fuente del servidor de comando y control de TrickBot que se liberó. Esto porque no hay forma de acceder a esa información sin tener acceso a la infraestructura del actor de amenazas.

Impacto de las filtraciones

En cuanto a Conti, tendremos que esperar y ver si esta “filtración de datos” tiene un gran impacto en su funcionamiento.

Este ha sido un golpe significativo para la reputación del grupo que puede hacer que los afiliados se trasladen a otra operación de ransomware.

Pero, al igual que todas las empresas, y no se puede negar que Conti funciona como una empresa, las filtraciones de datos ocurren todo el tiempo.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información