Kaspersky, daha önce sızdırılan Conti kaynak koduna dayanan bir fidye yazılımı modifikasyonunun kurbanlarına yardımcı olan bir şifre çözme aracının yeni bir sürümünü yayınladı.
Conti, 2019’dan beri siber suç sahnesine hakim olan ve kaynak kodu da dahil olmak üzere verileri Avrupa’daki jeopolitik krizin neden olduğu bir iç çatışmanın ardından Mart 2022’de sızdırılan bir fidye yazılımı çetesidir. Keşfedilen değişiklik, bilinmeyen bir fidye yazılımı grubu tarafından dağıtıldı ve şirketlere ve devlet kurumlarına karşı kullanıldı.
Şubat 2023’ün sonlarında güvenlik uzmanları, forumlarda yayınlanan sızdırılmış verilerin yeni bir bölümünü ortaya çıkardı. Kaspersky, 258 özel anahtar, kaynak kodu ve önceden derlenmiş bazı şifre çözücüleri içeren verileri analiz ettikten sonra, Conti fidye yazılımının bu modifikasyonunun kurbanlarına yardımcı olmak için genel şifre çözücünün yeni bir sürümünü yayınladı.
Conti yazılımı, 2019’un sonlarında ortaya çıktı ve 2020 boyunca oldukça etkin bir şekilde faaliyet gösterdi. Bu dönemde tüm fidye yazılımı kurbanlarının %13’ünden fazlasını oluşturdu. Ancak bir yıl önce, kaynak kodu sızdırıldıktan sonra, çeşitli suç çeteleri tarafından Conti yazılımının çeşitli değişiklikleri oluşturuldu ve saldırılarında kullanıldı.
Özel anahtarları sızdırılan kötü amaçlı yazılım varyantı, güvenlik uzmanları tarafından Aralık 2022’de keşfedildi. Bu tür, şirketlere ve devlet kurumlarına karşı birçok saldırıda kullanıldı.
257 klasörün 14’ünde, kurbanların saldırganlara para ödediği görülüyor
Sızdırılan özel anahtarlar 257 klasörde bulunuyor (bu klasörlerden sadece biri iki anahtar içeririyor). Bunlardan bazıları daha önce oluşturulmuş şifre çözücüler ve : belgeler, fotoğraflar gibi birkaç normal dosya içeriyor. Muhtemelen bunlar kurbanın dosyaların şifresini çözebileceğinden emin olmak için saldırganlara gönderdiği birkaç test dosyası. Bu klasörlerin otuz dördünde belirli şirket ve devlet kurumları adlarıyla belirtiiyor. Bir klasörün bir kurbanı temsil ettiği ve şifre çözücülerin fidye ödeyen kurbanlar için oluşturulduğu varsayıldığında, 257 klasörün 14’ünün kurbanların saldırganlara para ödediği düşünülebilir.
Verileri analiz ettikten sonra uzmanlar, Conti f yazılımının bu varyasyonunun kurbanlarına yardımcı olmak için yeni bir sürümü açık şifre çözücüsünü yayınladı. Şifre çözme kodu ve tüm 258 anahtar, RakhniDecryptor 1.40.0.00 adlı aracının en son sürümüne eklenmiştir. Dahası, şifre çözme aracı No Ransom sitesine eklendi.
