Conti | Vazam mais códigos-fonte de grande quadrilha de ransomware

A exposição da gangue de ransomware Conti, uma das mais ativas e perigosas dos tempos recentes, continuou neste final de semana com o vazamento de mais um conjunto de códigos-fonte de ferramentas de ataque usadas pelo bando. Os arquivos são mais recentes, datando do final de janeiro de 2021, e podem servir para que especialistas e empresas de segurança intensifiquem o combate contra golpes orquestrados pelas ferramentas da quadrilha.

• Computador de ministro da Rússia é invadido em questão de segundos
• Anonymous | Conheça a origem do grupo hacktivista que declarou guerra à Rússia

Anteriormente, como parte de uma grande exposição de informações sobre o grupo, o código-fonte de ransomware do Conti já havia sido publicado. A amostra, entretanto, era setembro de 2020, já tendo sofrido alterações e melhorias. Agora, os detalhes datam de um ano atrás, aproximando o conjunto um pouco mais daquele que pode estar sendo usado agora nos ataques do Conti e, possivelmente, tornando sistemas de detecção e mitigação mais robustos.

Estão presentes no vazamento os detalhes tanto do software responsável por criptografar os arquivos quanto daquele que os libera após o pagamento do resgate pelas vítimas. Há, claro, sempre o risco de agentes maliciosos baixarem os códigos e realizarem alterações, criando versões customizadas do ransomware, mas ao mesmo tempo, essa também é uma oportunidade para que autoridades e especialistas entendam um pouco mais sobre a ferramenta usada nos ataques.

O vazamento do código-fonte é mais uma retaliação de um especialista em segurança ucraniano ainda desconhecido, que se infiltrou na quadrilha e vazou registros relacionados a ela. Em resposta ao apoio dado pelo Conti ao governo da Rússia na invasão da Ucrânia, primeiro vieram à público mais de 17 mil registros de mensagens do grupo, algumas datadas de janeiro desse ano, exibindo um pouco de seu funcionamento interno, a estrutura dos ataques e a forma como intermediários são usados como vetor inicial de intrusão.

A identidade do responsável, claro, vem sendo mantida em sigilo, enquanto os vazamentos costumam sair no Twitter. Não se sabe se há mais a caminho, mas também já vazaram listas de URLs usadas pelo Conti para distribuição de arquivos e ataques de phishing, de forma que possam ser bloqueadas por empresas e usuários, bem como ligações entre o bando e o governo da Rússia, envolvendo até mesmo ataques e comprometimentos a dispositivos pertencentes a jornalistas.

Fonte: Bleeping Computer