以报复为由，新版本Conti勒索软件源代码遭泄露，6万余条内部消息公之于众

整理 | 张洁

近日，一位乌克兰研究人员为了打击入侵本土的网络犯罪分子，把自己的Twitter名字改为“ Conti Leaks ”，更让人意想不到的是，他还故意把Conti勒索软件源代码泄露在Twitter上。这个代码一经发布，吸引许多黑客、其它勒索软件团伙和安全研究人员采用该软件的源代码来进行各种各样的操作，一时之间便在网上引起了轩然大波。

图源于bleepingcomputer

提及到Conti，很多人可能不太了解，它是工业领域最活跃的勒索软件之一，Conti背后的团伙参与了很多系列的恶意软件开发。在2021年Conti这个团伙还干了一件让人不得不惧怕的事，那就是破坏了63家运营工业控制系统(ICS) 的公司，其中大部分是制造业。

此外，Conti的势力还在不断扩大，它还控制了由TrickBot团伙开发的隐秘恶意软件BazarBackdoor，用于破坏高价值目标。就在前不久，Conti勒索软件团伙还接管了TrickBot恶意软件操作项目。

黑客选边战队，成泄露源代码导火线

说到乌克兰研究人员报复这件事，还得从俄罗斯与乌克兰的纷争说起，两方为了抢夺黑客的技术力量，让黑客团队进行选边站队，从而对对方的支持者发出禁令和威胁。

在2022年2月25日，Conti勒索软件团伙为了表明自己的立场，还发布了一篇博客文章，宣布他们将全力支持俄罗斯政府对乌克兰的攻击。他们还警告地说，如果有人组织了针对俄罗斯的网络攻击，Conti团伙将围绕关键基础设施进行反击。

图源于bleepingcomputer

乌克兰听到消息后，也在试图与俄罗斯的黑客力量接触，以保护关键基础设施免受网络攻击，同时还寻求黑客打入俄罗斯内部。据路透社详细说明，应乌克兰国防部的要求，网络社区将参加保卫国家的任务。

因此，Cyber Unit Technologies（网络安全指导组织）的创始人Yegor Aushev组织了一场号召行动，目的是为了寻求站在乌克兰一边的黑客，用这些黑客的力量来保护关键基础设施。之后他于2月24号晚分享了一份申请表，供志愿黑客注册，方便获得他们的技能，以便更好地组织任务。在一篇帖子中，Aushev声称，即使是世界各地的黑客，包括来自俄罗斯的黑客，也响应了他的号召，他们将分组进行进攻和防御行动。

图源于bleepingcomputer

6万余条内部消息遭泄露

在此两天之后，也就是2022年2月27日，Conti勒索软件团伙选择站在了俄罗斯一边，对此，正如文章伊始所述，这位名为“Conti Leaks ”的乌克兰安全研究人员泄露了6万多条关于Conti勒索软件操作的内部消息。据BleepingComputer报道，该研究人员为Conti团队的内部成员，因此可以访问Conti的XMPP聊天服务器的“ejabberd 数据库”后端。

AdvIntel（一家网络情报公司）的首席执行官Vitali Kremez证实了这一点，泄露的消息是有效的，并且是从勒索软件团伙使用的Jabber通信系统的日志服务器中获取的。

据悉，Conti团伙是从2020年7月开始启动他们的业务，而本次泄露的数据范围是在2021年1月21日至2022年2月27日区间，涉及393个的JSON文件、60,694条消息惨遭泄露。与此同时，泄露的消息中还包含了有关该团伙内部活动的各种信息，比如姓名、私人数据泄露URL、比特币地址以及有关其操作的讨论。

发布最新的Conti源代码

在消息泄露之后，@Conti Leaks还将Conti版本3的源代码上传到VirusTotal，并在Twitter上发布了链接，以此来公布源代码。该源代码可以为研究人员和执法部门分析恶意软件提供一个参考，以更好地了解它的工作原理。

图源于bleepingcomputer

源代码泄漏是一个有关Visual Studio的解决方案，允许任何有权访问的人编译勒索软件锁定器和解密器。源代码编译经过测试并没有发生错误，并且可以被其他威胁参与者轻松修改，目的是为了使用他们自己的公钥或添加新功能。

图源于bleepingcomputer

源码的泄露或将造成灾难性影响

勒索软件源代码的发布，特别是对于像Conti这样的高级操作，可能会对企业的网络和消费者造成灾难性的影响。

无独有偶。曾经还有一名研究人员发布了名为“Hidden Tear”勒索软件的源代码，从而迅速导致了许多黑客采用该软件的源代码来进行各种各样的操作。虽然Hidden Tear可以被解密，但它导致了新的勒索软件被感染，多年来一直困扰着消费者和公司。

除此以外，一名黑客在俄语黑客论坛上泄露了Babuk勒索软件的源代码。几天之内，其他威胁参与者使用了源代码，并开发了新的勒索软件操作，例如Rook和Pandora。

由此可见，不管是对话消息的泄露还是源代码的泄露，无疑都是对勒索软件操作的致命打击，还为研究人员和执法部门提供了有关其内部流程的敏感情报。不幸的是，其他黑客使用那些源代码来启动自己的操作只是时间问题。

参考链接：

1.https://www.bleepingcomputer.com/news/security/newer-conti-ransomware-source-code-leaked-out-of-revenge/

2.https://www.bleepingcomputer.com/news/security/ransomware-gangs-hackers-pick-sides-over-russia-invading-ukraine/