Kaspersky เผยแพร่ตัวถอดรหัสแรนซัมแวร์ ‘MeowCorp’ ที่มีการใช้ซอร์สโค้ดเดียวกับ Conti ransomware

Kaspersky เผยแพร่เครื่องมือถอดรหัสสำหรับแรนซัมแวร์ Conti เวอร์ชันแก้ไข ที่ทำให้เหยื่อหลายร้อยรายสามารถกู้คืนไฟล์ได้ฟรี

โดย Kaspersky พบ cache private key ของ Conti ransomware ในฟอรัมของกลุ่มแฮ็กเกอร์ ซึ่งเคยถูกนำมาใช้ในการโจมตีองค์กรทั้งภาครัฐ และเอกชนหลายแห่งในช่วงปีที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่ชื่อว่า ‘MeowCorp’

นักวิจัยผู้เชี่ยวชาญเกี่ยวกับแรนซัมแวร์ Amigo-A ระบุว่าผู้โจมตีได้เผยแพร่ข้อมูลในฟอรัมภาษารัสเซียเมื่อเดือนกุมภาพันธ์ 2022 ซึ่งมีลิงก์ไปยัง Key ถอดรหัส, โปรแกรมถอดรหัส, และรหัสต้นฉบับ

Kaspersky วิเคราะห์ Key และพบว่าเกี่ยวข้องกับสายพันธุ์หนึ่งของ Conti ransomware ที่ถูกพบเมื่อเดือนธันวาคม 2022 โดยสายพันธุ์นี้มีการแพร่กระจายมาตั้งแต่เดือนสิงหาคม โดย private key อยู่ในโฟลเดอร์ทั้งหมด 257 โฟลเดอร์ (มี 1โฟลเดอร์ที่มีสองคีย์) และมีการกำหนดเป้าหมายไปที่องค์กรในรัสเซียเป็นส่วนใหญ่

บางโฟลเดอร์มีตัวถอดรหัสที่สร้างขึ้นก่อนหน้านี้พร้อมกับไฟล์อื่น ๆ เช่น รูปภาพ และเอกสาร เพื่อแสดงให้เหยื่อเห็นว่าการถอดรหัสใช้งานได้

34 โฟลเดอร์มีชื่อที่ชัดเจนของเหยื่อภาครัฐในประเทศต่าง ๆ ในยุโรป และเอเชีย

Fedor Sinitsyn หัวหน้านักวิเคราะห์มัลแวร์ของ Kaspersky ให้ข้อมูลกับ BleepingComputer ว่า ชื่อในโฟลเดอร์ที่เหลือถูก hash หรือเข้ารหัสไว้

จากข้อมูลดังกล่าว และจำนวนตัวถอดรหัสที่พบ Kaspersky สันนิษฐานได้ว่า Conti เวอร์ชันดังกล่าวถูกใช้เพื่อเข้ารหัสเหยื่อ 257 ราย และ 14 ราย ยอมจ่ายเงินให้กับผู้โจมตีเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส

private key ถูกสร้างขึ้นวันที่ 13 พฤศจิกายน 2022 ถึง 5 กุมภาพันธ์ 2023 ซึ่งเป็นข้อมูลบ่งชี้ถึงไทม์ไลน์ของการโจมตีได้เป็นอย่างดี โดยนักวิจัยระบุว่าเหยื่อที่ทำการติดต่อ Kaspersky เพื่อขอให้ช่วยในการถอดรหัส ก็อยู่ในช่วงเวลานั้นเช่นเดียวกัน

Kaspersky เพิ่มตัวถอดรหัส และ private key 258 Key ลงใน RakhniDecryptor ซึ่งเป็นเครื่องมือที่สามารถใช้กู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ได้หลายสายพันธ์ุ

ตัวถอดรหัสสามารถกู้คืนไฟล์ที่เข้ารหัสโดย Conti ซึ่งใช้รูปแบบชื่อ และนามสกุลต่อไปนี้:

<file_name>.KREMLIN
<file_name>.RUSSIA
<file_name>.PUTIN

เป็นเวลากว่าสามปีที่ Conti ดำเนินการในลักษณะ ransomware-as-a-service ที่สร้างรายได้จำนวนมาก โดยส่วนใหญ่มีการกำหนดเป้าหมายไปที่องค์กรขนาดใหญ่ และเรียกค่าไถ่จำนวนมากเพื่อถอดรหัสข้อมูลที่ถูกเข้ารหัสไว้ โดย Conti ถือเป็นตัวตายตัวแทนของ Ryuk ransomware ซึ่งถูกพบในเดือนธันวาคม 2019

Conti สร้างความเสียหายอย่างต่อเนื่อง และมีการใช้วิธีการใหม่ ๆ เช่น การขโมยข้อมูล การปล่อยข้อมูลของเหยื่อบนเว็บไซต์ เพื่อบังคับให้เหยื่อจ่ายค่าไถ่

การรุกรานยูเครนของรัสเซียในเดือนกุมภาพันธ์ปีที่ผ่านมา สร้างความขัดแย้งภายในมากขึ้นเนื่องจากสมาชิกหลักเข้าข้างรัสเซีย ทำให้นักวิจัยที่ติดตามการดำเนินการของทางกลุ่ม Conti อยู่ ได้ข้อมูลของข้อความนับพันที่มีการแลกเปลี่ยนกันระหว่างกลุ่ม Conti และกลุ่มพันธมิตร รวมไปถึงการรั่วไหลของซอร์สโค้ดสำหรับตัวเข้ารหัส, ตัวถอดรหัส และตัวสร้างแรนซัมแวร์ รวมทั้งการเข้าถึง administrative panels

ในเดือนพฤษภาคม 2022 หัวหน้ากลุ่ม Conti ได้ประกาศปิดตัวกลุ่มลง โดยผู้นำของกลุ่ม Conti ได้ย้ายไปร่วมมือกับกลุ่มอื่น ๆ ส่วนสมาชิกก็ย้ายไปร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ เช่นเดียวกัน

รัฐบาลสหรัฐฯ ประเมินว่า Conti เป็นหนึ่งในปฏิบัติการเรียกค่าไถ่ที่มีรายได้สูงที่สุด มีเหยื่อทั้งหมดหลายพันราย และสามารถรวบรวมเงินค่าไถ่ได้มากกว่า 150 ล้านดอลลาร์

ความเสียหายที่เกิดกับบริษัทของสหรัฐฯ ทำให้กระทรวงการต่างประเทศสหรัฐฯ เสนอรางวัลสูงถึง 15 ล้านดอลลาร์ สำหรับข้อมูลที่ระบุตำแหน่งของหัวหน้ากลุ่ม Conti กลุ่มผู้นำ และองค์กรพันธมิตรของ Conti ได้

 

ที่มา : bleepingcomputer