Hackerská skupina, stojící za ransomwarem Conti, se na začátku rusko-ukrajinského konfliktu veřejně postavila na stranu Ruska. Tím popudila neznámého ukrajinského bezpečnostního experta, který tajně slídil v jejím revíru. Naštvaný Ukrajinec nejprve získal a publikoval interní komunikaci a následně i zdrojové kódy ransomwaru.
Výsledky své práce průběžně publikuje pod účtem ContiLeaks na sociální síti Twitter. V neděli vypustil 393 souborů obsahujících přes 60 tisíc interních zpráv odcizených ze soukromého Jabber/XMPP komunikačního serveru ransomwarového gangu. Tyto konverzace poskytly řadu informací – například bitcoinové adresy, způsob organizace, metody vedení útoků a mnoho dalšího.
Naštvaný ukrajinský expert
V pondělí pokračoval zveřejněním dalších 148 souborů s více než 107 tisíci interními zprávami odeslanými od června 2020, tedy přibližně od doby, kdy byly poprvé zaznamenány operace ransomwaru Conti. V poslední zásilce se objevily hlavičky s daty z úterý a středy, což naznačuje, že neznámý leaker má i nadále přístup k serveru s protokoly komunikace.
Server KrebsOnSecurity s odvoláním na zakladatele kybernetické zpravodajské firmy Hold Security Alexe Holdena uvedl, že autorem ContiLeaks je ukrajinský bezpečnostní expert. „Je to jeho způsob, jak je – alespoň dle jeho představ – zastavit.“
Během noci z úterý na středu začal ContiLeaks zveřejňovat další a v mnoha směrech ještě zajímavější data. Ta obsahovala například zdrojové kódy administračního panelu, aplikační rozhraní (API) BazarBackdooru, snímky obrazovek, přístupy k serverům a další údaje.
Unikly důležité zdrojové kódy
Součástí úniku byl také heslem chráněný archiv obsahující zdrojové kódy komponent zajišťujících šifrování a dešifrování dat či kompilátor ransomwaru Conti. Samotný expert sice heslo veřejně nesdělil, ale jiný odborník ho brzy prolomil a umožnil tak všem přístup ke zdrojovým kódům ransomwaru Conti.
Kód poskytuje kompletní přehled o tom, jak škodlivý software funguje. Jeho veřejná dostupnost však může mít i své nevýhody. Jak jsme viděli při publikaci zdrojových kódů ransomwaru HiddenTear a Babuk, útočníci z jiných skupin takový zdroj informací ochotně využijí ke zdokonalení svých škodlivých aplikací.
Co však může být užitečnější, je zveřejněný zdrojový kód rozhraní API BazarBackdoor a řídicího serveru TrickBot. Až dosud totiž neexistoval způsob, jak se k těmto informacím dostat bez přístupu k vnitřní ransomwarové infrastruktuře.
Členové skupiny Conti, která patří k nejaktivnějším ransomwarovým gangům, se dlouhé měsíce chlubili zveřejněnými odcizenými daty. Nyní mohou okusit situaci ze druhé strany, když se na světlo dostalo všechno jejich špinavé prádlo – a to nejen jednou, ale hned opakovaně.