La variante del malware di cui sono state diffuse le chiavi era stata scoperta dagli specialisti di Kaspersky a dicembre 2022 ed è stato utilizzato in diversi attacchi contro aziende e istituzioni statali.
Autore: Redazione BitCity
Pubblicato il: 21/03/2023
Kaspersky ha pubblicato l’aggiornamento dello strumento di decriptazione che aiuta le vittime di una versione del ransomware basata sul codice sorgente del gruppo Conti precedentemente rivelato. Si tratta di una gang specializzata in ransomware che domina la scena del cybercrimine dal 2019 e i cui dati, compreso il codice sorgente, sono stati rivelati a marzo 2022 in seguito a un conflitto interno causato dalla crisi geopolitica in Europa. La modifica scoperta è stata distribuita da un gruppo ransomware sconosciuto ed è stata utilizzata per colpire aziende e istituzioni statali.
Verso la fine di febbraio 2023, gli esperti di Kaspersky hanno scoperto una nuova fuga di dati, pubblicati sui forum. In seguito ad un’analisi delle informazioni che contenevano 258 chiavi private, il codice sorgente e alcuni decrittatori precompilati, Kaspersky ha rilasciato una nuova versione del sistema di decriptazione pubblico per aiutare le vittime degli attacchi causati dal gruppo Conti.
Conti è apparso alla fine del 2019 ed è stato molto attivo per tutto il 2020, rappresentando più del 13% di tutte le vittime di ransomware. Tuttavia, un anno fa, una volta trapelato il codice sorgente, diverse modifiche del ransomware Conti sono state create da diverse bande di criminali e utilizzate nei loro attacchi.
Le chiavi private divulgate si trovano in 257 cartelle (solo una di queste contiene due chiavi). Alcune contengono decodificatori generati in precedenza e diversi file comuni: documenti, foto e altro. Presumibilmente questi sono file di prova – quelli che la vittima invia agli attaccanti per assicurarsi che possano essere decriptati.
Tra le cartelle, 34 contengono nomi di aziende e pubbliche amministrazioni. Supponendo che una cartella corrisponda a una vittima e che i decrittatori siano stati generati per le vittime che hanno pagato il riscatto, si può ipotizzare che 14 su 257 abbiano deciso di pagarlo.
Dopo aver analizzato i dati, gli esperti hanno rilasciato una nuova versione del programma di decriptazione pubblico per aiutare le vittime di questa variante del ransomware Conti. Il codice di decriptazione e tutte le 258 chiavi sono state aggiunte all’ultima build dell’utility RakhniDecryptor 1.40.0.00 di Kaspersky. Inoltre, lo strumento di decriptazione è stato aggiunto al sito “No Ransom” di Kaspersky (https://noransom.kaspersky.com).