一直关注我们的小伙伴估计还记得一篇文章:
根据统计,当时的答案是:Conti勒索团队。
近期由于俄乌开战,互联网上:
正是由于这个原因,本周一名亲乌相关安全人员继续对Conti勒索团队进行了毁灭性打击,除了泄露内部对话,以及勒索软件、管理面板等的来源。
Conti在其网站表示对于俄乌问题上站在俄罗斯一边, 因此激怒了乌克兰合作团队(附属公司)和一名一直在秘密窥探他们行动的亲乌研究人员,这对Conti勒索团队来说是非常具有破坏性的一周 。
Conti在其网站表示对于俄乌问题上站在俄罗斯一边
周一,一名乌克兰研究人员在推上泄露了393个JSON文件,其中包含从 Conti和Ryuk勒索软件团伙的私人XMPP聊天服务器获取的超过60000条内部消息。
这些对话从2021年1月21日到2022年2月27日,提供了有关网络犯罪组织的大量信息,例如比特币地址、该团伙如何组织为企业、逃避执法、他们如何进行攻击及更多内容。
周二,研究人员不断泄露更具破坏性的Conti数据,其中包括自2020年6月(即Conti勒索软件首次启动时)以来包含107000条内部消息的额外148个JSON 文件 。
进一步泄露的内部对话
此人开始整个晚上都在发布更多数据,包括该团伙管理面板的源代码、BazarBackdoor API、存储服务器的屏幕截图等等。
然而,让人们瞠目结舌的部分泄漏是一个受密码保护的存档,其中包含Conti 勒索软件加密器、解密器和构建器的源代码。
虽然泄密者没有公开分享密码,但另一位研究人员很快破解了它,让每个人都可以访问Conti勒索软件恶意软件文件的源代码。
用于加密文件的Conti源代码
灾难or机会???
如果您是逆向工程师,源代码可能不会提供额外信息。然而这是一次机会,让你有机会研究到来自全球勒索之王的源码,源代码为那些可以用C语言编程但不一定是逆向工程的人提供了关于恶意软件如何工作的巨大洞察力。
虽然这有利于安全研究,但该代码的公开可用性确实有其灾难性。
正如我们在之前勒索软件源代码发布时所看到的那样,威胁行为者迅速利用此代码来启动自己的勒索操作。
参见:
全球勒索江湖或将腥风血雨!“海啸级”勒索后再现两大勒索构建器源码泄露
由于代码完全源自强大的Conti勒索团队,且一样严格和干净,我们应该预期其他威胁参与者会尝试使用泄露的源代码发起他们自己的犯罪行动!!
不过,可能更有研究价值的是已发布的BazarBackdoor API和TrickBot命令和控制服务器源代码,因为如果不访问威胁参与者的基础设施,就无法访问该信息。
至于Conti勒索团队,我们将不得不拭目以待,看看这次“数据泄露”是否会对他们的运营产生很大影响。这对该组织来说在互联网内是一个重大的声誉打击,可能导致下属关联公司转移到另一个勒索软件操作。但是,就像所有企业一样,不可否认Conti像某种企业一样运作,数据泄露一直在发生。
原文始发于微信公众号(红数位):勒索之王Conti勒索源代码泄露,灾难or机会
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论