В марте 2022 года исходные коды малвари Conti попали в открытый доступ и теперь, судя по всему, их начинают использовать другие преступники, обратив шифровальщика против российских компаний.
Напомню, что эта история началась еще в феврале 2022 года, когда анонимный ИБ-исследователь, имевший доступ к инфраструктуре хакеров (по другим данным это был украинский участник самой хак-группы), решил отомстить Conti. Дело в том, что группировка объявила, что в свете «специальной военной операции» в Украине полностью поддерживает действия российского правительства.
В итоге сначала в открытый доступ были выложены все внутренние чаты хакеров за последний год (339 файлов JSON, каждый из которых — это лог за отдельно взятый день), а затем была опубликована еще одна порция логов (еще 148 файлов JSON, содержащие 107 000 внутренних сообщений группировки) и другие данные, связанные с Conti, в том числе исходный код панелей управления, API BazarBackdoor, старый исходный код шифровальщика, скриншоты серверов и многое другое. За этими утечками последовала и еще одна, с более свежими исходниками малвари Conti.
Как сообщает теперь издание Bleeping Computer, некая хак-группа NB65 уже адаптировала исходники Conti для своего арсенала и атакует российские организации. По данным издания, NB65 взламывала российские организации весь последний месяц, похищая данные и сливая их в сеть. При этом хакеры заявляли, что атаки связаны со «спецоперацией» в Украине.
К примеру, в марте хак-группа утверждала, что уже скомпрометировала ИТ-компанию «Тензор», Роскосмос и ВГТРК. К примеру, хакеры писали, что похитили у ВГТРК 786,2 Гб данных, включая 900 000 email’ов и 4 000 других файлов, которые в итоге были опубликованы на сайте DDoS Secrets.
Теперь же NB65 перешла к использованию шифровальщиков, создав на базе исходных кодов Conti собственную малварь, образец которой был обнаружен на VirusTotal. Оказалось, что почти все защитные решения определяют эту угрозу как Conti, но Intezer Analyze подсчитал, что вредонос использует лишь 66% того же кода.
Журналисты, которым удалось пообщаться с хакерами, сообщают, что те создали вредоноса на базе первой утечки исходников Conti, но модифицируют вредоноса для каждой жертвы, чтобы существующие дешифраторы не работали. Также представители NB65 завили изданию, что они поддерживают Украину и будут атаковать российские компании, включая принадлежащие частным лицам, вплоть до прекращения всех боевых действий.
«Мы не станем атаковать цели за пределами России. Такие группы как Conti и Sandworm, наряду с другими российскими APT, годами атакуют Запад с помощью программ-вымогателей, атак на цепочки поставок (SolarWinds, оборонные подрядчики). Мы решили, что пора им испытать это на себе», — заявляют в NB65.
