Na het uitlekken van haar chatgeschiedenis, zijn nu ook verschillende tools, technieken en trainingsmateriaal van de Conti-ransomwarebende uitgelekt. Onder de gelekte tools is ook een decryptie-tool en de broncode van de ransomware zelf. Helaas werkt de decryptor niet voor de meest recente Conti-slachtoffers, maar het geeft beveiligingsonderzoekers en autoriteiten wel een schatkist aan inzicht in de werkwijze van de bende.
De gelekte informatie komt van VX-underground en is bijzonder recent. Vaak lekt er oude informatie over een bende, maar in dit geval zijn de data op het moment van lekken slechts een dag of twee oud. In de dump zien we de volledige inhoud van het lek, maar we gaan ons hier concentreren op de belangrijkste dingen.
Een schatkist aan inzicht
Normaliter moeten onderzoekers zelf uitvogelen (reverse engineering) hoe de kwaadaardige software in elkaar steekt en welke aapjes de malwarebendes allemaal in hun mouw hebben verstopt. Een lek met up-to-date informatie als deze gaat beveiligingsteams over de hele wereld een grote glimlach op hun gezicht bezorgen.
Chatlogs en interne fora
Allereerst hebben ze inzicht in hoe de bende communiceert. Dit maakt het niet alleen makkelijker om de identiteit van bendeleden te achterhalen, maar geeft ook een beeld van hoe de bende haar doelwitten selecteert, hoe ze obstakels overkomt en hoe de rollen binnen de bende verdeeld zijn.
Tactics, Techniques & Procedures (TTPs)
Naast de communicatie tussen de leden is ook een verzameling van de Tactics, Techniques & Procedures buitgemaakt. In dergelijke documentatie houdt een bende bij hoe ze haar doel bereikt. Hoe kom je binnen bij een bedrijf? Welke software gebruikt de bende voor hun doeleinden, en hoe?
Uit de documenten blijkt dat de bende veel gebruikmaakt van bekende open source-software als Cobalt Strike. Deze software wordt door ‘de verdediging’ gebruikt om de eigen beveiliging te testen; het zogeheten pen-testing. Qua technieken hield de bende bijvoorbeeld bij hoe ze bij specifieke type backups (Shadow Protect SPX) kon komen om herstel moeilijker te maken. Ten slotte komt hier ook naar voren hoe de bende een aantal Proof-of-Concept exploits, kwetsbaarheden bekendgemaakt door onderzoekers, actief heeft misbruikt.
Trainingsmateriaal
Ook cybercriminelen weten niet alles! Bij de eerder genoemde TTP’s is ook trainingsmateriaal gevonden. Deze bestaat onder andere uit Russisch gesproken trainingsvideo’s, soms zelfs met videobeelden van een vermeend bendelid erbij. Zo leren nieuwe of minder ervaren bendeleden bijvoorbeeld hoe ze Cobalt Strike moeten gebruiken, hoe ze kwetsbaarheden in een netwerk kunnen vinden en hoe ze misbruik kunnen maken van de Windows Active Directory.
Broncode snijdt aan twee kanten
Tot slot is de broncode van de beruchte TrickBot-malware gelekt. Hierdoor kunnen autoriteiten en onderzoekers precies zien hoe de malware in elkaar steekt: hoe verplaatst deze zich? Hoe verstopt TrickBot zich in een netwerk? Met deze informatie kan beveiligings- en detectiesoftware expliciet getraind worden om TrickBot-infecties te herkennen, verhelpen of zelfs voorkomen.
Toch snijdt dit mes aan twee kanten, want ook andere cybercriminelen kunnen weer leren van de TrickBot-code. Zo kan er een betere TrickBot geschreven worden of worden er onderdelen gebruikt om andere malware-families te verbeteren. Het gaat deze bendes immers om geld en het zijn toch elkaars concurrenten.
