Conti Ransomware Kaynak Kodu Ukraynalı Araştırmacı Tarafından Sızdırıldı
Ukraynalı bir araştırmacı, Conti fidye yazılımı operasyonuna yıkıcı darbeler indirmeye devam ediyor. Siber güvenlik uzmanı, çeşitli iç görüşmelerin yanı sıra fidye yazılımın kaynak kodunu, yönetim panellerini ve daha fazlasını sızdırdı.
Ukrayna’nın işgali konusunda Rusya’nın tarafını tutarak, Ukrayna’ya karşı tavır almak, Conti için oldukça zarar verici gelişmelere sebep oldu.
Pazar günü, Twitter’da @ContiLeaks‘i kullanan Ukraynalı bir araştırmacı, Conti ve Ryuk fidye yazılımı çetesinin özel XMPP sohbet sunucusundan alınan 60.000’den fazla dahili mesajı içeren 393 JSON dosyasını sızdırdı.
21 Ocak 2021’den 27 Şubat 2022’ye kadar olan bu konuşmalar, bitcoin adresleri, çetenin nasıl organize olduğu, kolluk kuvvetlerinden nasıl kaçtıkları ve saldırılarını gerçekleştirme yolu vb. bir çok bilgi olmak üzere siber suç örgütü hakkında bir bilgi hazinesi sunmuş oldu.
Pazartesi günü ise, araştırmacı Conti fidye yazılımı operasyonunun ilk başlatıldığı Haziran 2020’den bu yana 107.000 dahili mesaj içeren ek 148 JSON dosyası da dahil olmak üzere daha fazla Conti verisini de sızdırmaya devam etti.
ContiLeaks, çetenin yönetim panelinin kaynak kodu, BazarBackdoor API’si, depolama sunucularının ekran görüntüleri ve daha fazlası dahil olmak üzere gece boyunca daha fazla veri yayınlamaya başladı.
Bununla birlikte, sızıntının en çok heyecanlandıran parçası ise Conti fidye yazılımının şifreleyicisi, şifre çözücü ve oluşturucu için kaynak kodunu içeren şifre korumalı bir arşivin yayınlanması oldu.
Sızdıran kişi şifreyi herkese açık olarak paylaşmasa da, başka bir araştırmacı kısa süre sonra şifreyi kırdı ve herkesin Conti fidye yazılımı kötü amaçlı yazılım dosyalarının kaynak koduna erişmesine izin verdi.
Kaynak kodu, programlama yapabilen kişiler için kötü amaçlı yazılımın nasıl çalıştığına dair muazzam bir fikir sağlar.
Bu, güvenlik araştırması için iyi olsa da, kodun herkese açık olmasının çeşitli dezavantajları da bulunuyor.
HiddenTear (“eğitim nedenleriyle”) ve Babuk fidye yazılımlarının kaynak kodu yayınlandığında da gördüğümüz gibi, tehdit aktörleri ilgili kaynak kodlarını hızlı bir şekilde kendi operasyonlarında kullanmaya başladı.
Conti fidye yazılımı operasyonu oldukça sağlam ve temiz bir kodlamaya sahip. Bu da kaynak kodunun diğer operasyonlarda kullanılma ihtimalini arttırmakta.
Şifreleyiciye ek olarak sızdırılan ve daha yararlı olabilecek kaynak kodu ise, saldırılarda kullanılan BazarBackdoor API’leri ve TrickBot komut ve kontrol sunucusu kaynak kodlarıdır.
Bu “veri ihlalinin”, Conti’nin operasyonları üzerinde çok fazla etkisi olup olmadığını bekleyip görmemiz gerekecek. Ancak yine de önemli bir itibar kaybına neden olduğu çok açık.
Bunun yanında, Conti’nin bir işletme olduğu inkar edilemez, veri ihlalleri ise işletmelerde her zaman gerçekleşebilecek sorunlar arasında yer alıyor.
Kaynak: bleepingcomputer.com
Diğer Haberler
Nvidia, Siber Saldırıya Uğradığını Doğruladı
Microsoft: LSASS Sorunları Domain Controller’da Yeniden Başlatmaya Neden Oluyor
Microsoft: Ukrayna İşgalden Saatler önce FoxBlade Saldırısına Uğradı