March 31, 2023


Alat dekripsi gratis untuk ransomware berbasis Conti kini tersedia

Alat dekripsi untuk versi modifikasi dari ransomware Conti dapat membantu ratusan korban memulihkan file mereka secara gratis.

Utilitas bekerja dengan data yang dienkripsi dengan jenis ransomware yang muncul setelah kode sumber untuk Conti bocor tahun lalu di bulan Maret [12].

Ratusan korban dienkripsi

Para peneliti di perusahaan keamanan siber Kaspersky menemukan kebocoran di sebuah forum di mana pelaku ancaman merilis cache berisi 258 kunci pribadi dari versi modifikasi ransomware Conti.

Varian tersebut digunakan dalam serangan terhadap berbagai organisasi swasta dan publik selama setahun terakhir oleh grup ransomware yang dilacak oleh beberapa peneliti sebagai MeowCorp.

Peneliti ransomware Amigo-A mengatakan kepada BleepingComputer bahwa pelaku ancaman menerbitkan data di forum berbahasa Rusia pada Februari 2022, yang berisi tautan ke arsip yang berisi kunci dekripsi, executable dekripsi, dan kode sumber dekripsi.

Operasi ransomware Meow berbasis conti berbagi kunci dekripsi
MeowCorp membagikan kunci dekripsi dan kode sumber
sumber: Amigo-A

Kaspersky menganalisis kunci tersebut dan menemukan bahwa kunci tersebut terkait dengan varian Conti yang mereka temukan pada Desember 2022. beredar setidaknya sejak Agustus.

“Kunci pribadi yang bocor terletak di 257 folder (hanya satu dari folder ini yang berisi dua kunci),” Kaspersky kata dalam siaran pers hari ini.

Folder dengan kunci pribadi untuk Encryptor Meow berbasis Conti
Folder dengan kunci pribadi untuk enkripsi berbasis Meow Conti
sumber: BleepingComputer

BleepingComputer mengetahui bahwa enkripsi berbasis Conti yang digunakan dalam serangan ini menargetkan organisasi Rusia secara khusus.

Para peneliti menambahkan bahwa beberapa folder menyertakan dekripsi yang dibuat sebelumnya bersama dengan file lain, yaitu foto dan dokumen, yang kemungkinan digunakan untuk menunjukkan kepada korban bahwa dekripsi berfungsi.

34 folder berisi nama perusahaan swasta dan lembaga pemerintah, menunjukkan bahwa penyerang menyimpan folder terpisah untuk setiap korban.

Berdasarkan ini dan jumlah dekripsi yang tersedia dalam kebocoran, Kaspersky mengatakan bahwa dapat diasumsikan bahwa strain Conti yang dimodifikasi digunakan untuk mengenkripsi 257 korban dan 14 dari mereka membayar penyerang untuk memulihkan data yang terkunci.

Kaspersky menambahkan kode dekripsi dan 258 kunci pribadi ke dalamnya RakhniDecryptoralat yang dapat memulihkan file yang dienkripsi oleh lebih dari dua lusin jenis ransomware.

Menurut Kaspersky, decrytor dapat memulihkan file yang dienkripsi oleh varian Conti yang dimodifikasi yang menggunakan pola dan ekstensi nama berikut:

  • .KREMLIN
  • .RUSIA
  • .PUTIN

Kematian Conti ransomware

Selama sekitar tiga tahun, geng Conti menjalankan salah satu operasi ransomware-as-a-service yang paling aktif dan menguntungkan, menargetkan organisasi besar dan meminta tebusan besar untuk mendekripsi data yang mereka kunci.

Dianggap penerus dari Ryuk ransomware, operasi Conti dimulai pada Desember 2019 dan, dengan bantuan operator TrickBot, menjadi ancaman dominan pada Juli 2020.

Geng tersebut mendatangkan malapetaka tanpa henti selama satu tahun dan mengadopsi taktik baru (misalnya pencurian data, situs kebocoran) untuk memaksa korban membayar uang tebusan.

Pada Agustus 2021, a afiliasi Conti yang tidak puas membocorkan informasi tentang beberapa anggota grup bersama dengan metode serangan geng dan manual pelatihan.

Invasi Rusia ke Ukraina pada Februari tahun lalu menciptakan lebih banyak gesekan internal karena anggota inti memihak Rusia.

Hal ini menyebabkan seorang peneliti yang telah mengintai operasi tersebut membocorkan ribuan pesan dipertukarkan antara operator Conti dan afiliasinya.

Balas dendam peneliti berlanjut hingga Maret dengan membocorkan kode sumber untuk ransomware encryptor, decryptor, dan builder, serta panel administratif [12].

Tidak butuh waktu lama untuk menghentikan operasi dan pada Mei 2022 pemimpin tim Conti mematikan infrastruktur dan mengumumkan bahwa merek tersebut tidak ada lagi.

Conti kepemimpinan bermitra dengan geng lain dalam bisnis pemerasan dan anggota lainnya bermigrasi ke operasi ransomware lainnya.

Pemerintah AS menilai Conti adalah salah satu operasi ransomware yang paling menguntungkan, memakan ribuan korban dan menimbun pembayaran uang tebusan lebih dari $150 juta.

Kerusakan yang terjadi pada perusahaan-perusahaan AS menentukan Departemen Luar Negeri AS untuk menawarkan a hadiah hingga $ 15 juta untuk informasi yang mengidentifikasi dan menemukan pemimpin dan afiliasi Conti.



Leave a Reply

Your email address will not be published. Required fields are marked *