وقع برنامج الفدية Conti ضحية لتسرب البيانات

هيلجا سميثنوفمبر 24, 2021آخر تحديث: نوفمبر 24, 2021
2 دقائق

حتى مشغلي برنامج الفدية Conti وقعوا ضحية لتسرب البيانات: شركة الأمن السيبراني السويسرية Prodaft كان قادرا على تحديد عنوان IP الحقيقي لأحد خوادم المجموعة وبقي في النظام لأكثر من شهر.

وكان الخادم المتأثر هو بوابة الدفع الخاصة بالمجموعة (أو ما يسمى “خادم الاسترداد”) حيث دعا المتسللون ضحاياهم للتفاوض على فدية. تمت استضافة الخادم بواسطة hotser الأوكراني اي تي ال ذ م م وتقع على عنوان IP 217.12.204.135.

اكتشف فريقنا ثغرة أمنية في خوادم الاسترداد كونتي يستخدم الثغرة الأمنية ويستغلها لاكتشاف عناوين IP الحقيقية للخدمة المخفية التي تمت استضافة الموقع فيها.يقول برودافت تقرير.

احتفظ الباحثون بالوصول إلى الخادم لعدة أسابيع وقاموا بمراقبة جميع حركة مرور الشبكة وعناوين IP. في حين أن بعض العناوين تعود للضحايا ووسطائهم, قام Prodaft أيضًا بتتبع اتصالات SSH التي من المرجح أنها تخص المتسللين أنفسهم. للأسف, تم ربط جميع عناوين SSH IP بعقد خروج Tor, إنه, ولم يكن من الممكن استخدامها للتعرف على أعضاء مجموعة الاختراق.

حسابات السيرفر

الباحثون’ كما قدم التقرير معلومات قيمة أخرى, بما في ذلك معلومات حول نظام التشغيل لخادم Conti وملف htpasswd, والتي تحتوي على نسخة مجزأة من كلمة مرور الخادم. تؤكد Prodaft أنها شاركت جميع النتائج التي توصلت إليها مع سلطات إنفاذ القانون, ويتم الحفاظ على سرية بعض التفاصيل لمنح جهات إنفاذ القانون الوقت الكافي لاتخاذ الإجراءات اللازمة.

ولم يمر نشر التقرير مرور الكرام ليس فقط بين خبراء أمن المعلومات, ولكن أيضًا بين المتسللين أنفسهم. النقطة هي, من المحتمل أن يؤدي تسريب عنوان IP الخاص بالخادم وكلمة المرور المجزأة إلى فتح الخادم أمام مجموعات الاختراق المتنافسة. نتيجة ل, خلال ساعات قليلة من نشر التقرير, MalwareHunterTeam لاحظ الباحثون أن شركة Conti قد أغلقت بوابة الدفع الخاصة بها. أدى التوقف المفاجئ للخادم إلى جعل من المستحيل على ضحايا كونتي الجدد الاتصال بالمتسللين ودفع الفدية المتزايدة باستمرار.

نتيجة ل, عادت بوابة الدفع كونتي عبر الإنترنت أكثر من 24 بعد ساعات من الاغلاق, وظهرت رسالة غاضبة على مدونة مجموعة الاختراق, الذي يقول ذلك “يبدو أن الأوروبيين قرروا نسيان أخلاقهم وتصرفوا مثل المتنمرين الذين يحاولون اختراق أنظمتنا.”

كما نفى المتسللون تأكيد Prodaft الأسبوع الماضي: كتب الباحثون ذلك منذ يوليو 2021, الفدية “حصل” عن $ 25.5 مليون. قال مشغلو كونتي إنهم صنعوا بالفعل أكثر من $ 300,000,000 في الأرباح. لكن, هذا على الأرجح مجرد تفاخر, والتي يستخدمها المهاجمون للترويج لأنفسهم وزيادة ربحية هجماتهم.

ومن المثير للاهتمام, لقد انتقد بعض الخبراء بالفعل شركة Prodaft لكشفها عن المعلومات علنًا, الأمر الذي أدى فقط إلى تشديد كونتي لأمن خوادمها.

دعني أذكرك أننا كتبنا ذلك أيضًا خلية الفدية المصابة ميدياماركت ويطلب مشغلوها $ 240 مليون.

الوسوم
هيلجا سميثنوفمبر 24, 2021آخر تحديث: نوفمبر 24, 2021
2 دقائق

هيلجا سميث

كنت دائمًا مهتمًا بعلوم الكمبيوتر, خاصة أمن البيانات والموضوع, وهو ما يسمى في الوقت الحاضر "علم البيانات", منذ سنوات مراهقتي المبكرة. قبل الانضمام إلى فريق Virus Removal كرئيس تحرير, عملت كخبير في الأمن السيبراني في العديد من الشركات, including one of Amazon's contractors. تجربة أخرى: لقد حصلت على التدريس في جامعات أردن وريدينج.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

هذا الموقع يستخدم خدمة أكيسميت للتقليل من البريد المزعجة. اعرف المزيد عن كيفية التعامل مع بيانات التعليقات الخاصة بك processed.

زر الذهاب إلى الأعلى