Análisis del código fuente del ransomware de Conti (locker)

Conti, uno de los más temibles grupos de ransomware de los últimos tiempos, declaró públicamente su apoyo a Rusia en la invasión a Ucrania y el resultado no se hizo esperar: un investigador supuestamente ucraniano con el nick ContiLeaks publicó numerosos archivos JSON con conversaciones internas del grupo desde junio de 2020, detalles de su infraestructura y código fuente de su panel administración, la API de BazarBackdoor y hasta del propio ransomware (encryptor, decryptor y constructor) que estaba en un zip con contraseña que fue posteriormente crackeada. Mirror.

En este post se hace un repaso del análisis desarrollado por Cluster25 del código del ransomware, muy bien modularizado y administrado. El proyecto está desarrollado en C++ sobre una versión de Visual Studio 2015 con el conjunto de herramientas Windows XP Nplatform (v140_xp).

La plataforma de destino especificada es Windows 10. La estructura del proyecto está organizada en diferentes subcarpetas, donde cada una maneja un módulo específico del ransomware (como la carpeta "locker" para las operaciones de cifrado).

Fuentes:

• Hackplayers
• https://www.theregister.com/2022/03/02/conti-source-code-leaked/
• https://heimdalsecurity.com/blog/conti-ransomwares-source-code-is-now-public/
• https://cluster25.io/2022/03/02/contis-source-code-deep-dive-into/

Suscríbete a nuestro Boletín