Un code source plus récent du ransomware Conti a fuité !

Le chercheur en sécurité ukrainien auteur du compte @ContiLeaks a publié une nouvelle version du code source du ransomware Conti, plus récente que la première version mise en ligne.

Pour rappel, suite au conflit entre l'Ukraine et la Russie, le groupe de hackers Conti a montré son soutien à la Russie (avant de s'annoncer comme étant apolitique). Cela n'a pas plus à l'un des membres puisqu'il est ukrainien ! Il a pris la décision de publier sur Internet l'historique des conversations internes des cybercriminels du groupe Conti (avec plusieurs dizaines de milliers de messages), mais aussi, dans un second temps : le code source du ransomware Conti.

Bien qu'il soit intéressant, notamment pour les entreprises spécialisées dans la cybersécurité, le premier code source qu'il a publié datait du 15 septembre 2020. On peut légitimement penser qu'il ne s'agissait pas de la dernière version du ransomware Conti.

Toujours par l'intermédiaire du compte @ContiLeaks, une version plus récente du code source a été mise en ligne ! Cette fois-ci, cette archive ZIP estampillé "Conti version 3" semble correspondre à une version du 25 janvier 2021, si l'on se réfère aux dates de modification des fichiers. L'archive ZIP est protégée par mot de passe, mais ce dernier peut être facilement obtenu.

D'après le site Bleeping Computer, ce code source est compilable sans problème et ne retourne aucune erreur. Il permet d'obtenir la bibliothèque cryptor_dll.dll, l'outil de chiffrement "cryptor.exe" ainsi que l'outil de déchiffrement "decryptor.exe".

Conti v3

Au-delà de permettre aux entreprises et aux experts d'analyser le code source, cela peut permettre aussi à d'autres groupes de hackers de l'analyser, de s'en inspirer, voire même de le réutiliser.

Par la suite, il faut s'attendre à ce que d'autres campagnes d'attaques soient lancées grâce à des ransomwares basés sur les travaux de Conti. C'est ce qu'il s'est déjà passé avec d'autres ransomwares comme Hidden Tear mais aussi Babuk, où des variantes ont vu le jour.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.