Conti ransomware se stal obětí úniku dat

Helga Smithlistopad 24, 2021Naposledy aktualizováno: listopad 24, 2021
73 2 přečtené minuty

Obětí úniku dat se stali i provozovatelé ransomwaru Conti: švýcarská společnost Prodaft zabývající se kybernetickou bezpečností dokázal určit skutečnou IP adresu jednoho ze serverů skupiny a zůstal v systému déle než měsíc.

Dotčeným serverem byl platební portál skupiny (nebo tzv “obnovovací server”) ke kterému hackeři pozvali své oběti, aby vyjednaly výkupné. Server hostoval ukrajinský hotser ITL LLC a nachází se na IP adrese 217.12.204.135.

Náš tým objevil zranitelnost na serverech pro obnovu Conti využívá a zneužívá tuto zranitelnost k odhalení skutečných IP adres skryté služby, kde byl web hostován.říká Prodaft zpráva.

Výzkumníci udržovali přístup k serveru několik týdnů a monitorovali veškerý síťový provoz a IP adresy. Zatímco některé adresy patřily obětem a jejich zprostředkovatelům, Prodaft také sledoval SSH spojení, která s největší pravděpodobností patřila samotným hackerům. Běda, všechny IP adresy SSH byly spojeny s výstupními uzly Tor, to je, nebylo možné je použít k identifikaci členů hackovací skupiny.

Server Conti

Výzkumníci’ zpráva také poskytla další cenné informace, včetně informací o OS serveru Conti a souboru htpasswd, který obsahoval hashovanou verzi hesla serveru. Prodaft zdůrazňuje, že se o všechna svá zjištění podělil s orgány činnými v trestním řízení, a některé podrobnosti jsou uchovávány v tajnosti, aby měly orgány činné v trestním řízení čas na akci.

Zveřejnění zprávy nezůstalo bez povšimnutí nejen mezi odborníky na informační bezpečnost, ale také mezi hackery samotnými. Pointa je v tom, únik IP adresy a hashovaného hesla serveru by potenciálně otevřel server konkurenčním hackerským skupinám. Jako výsledek, do několika hodin po zveřejnění zprávy, MalwareHunterTeam výzkumníci si všimli, že Conti vypnul svůj platební portál. Náhlý výpadek serveru znemožnil Contiho nedávným obětem kontaktovat hackery a zaplatit stále rostoucí výkupné..

Jako výsledek, Platební portál Conti vrátil online více než 24 hodin po odstávce, a na blogu hack group se objevila naštvaná zpráva, který to říká “Zdá se, že Evropané se rozhodli zapomenout na své způsoby a chovali se jako tyrani, kteří se snaží hacknout naše systémy.”

Hackeři také popřeli tvrzení Prodaftu minulý týden: vědci to psali od července 2021, ransomware “vydělal” o $ 25.5 milión. Operátoři společnosti Conti uvedli, že ve skutečnosti vydělali více než $ 300,000,000 v ziscích. nicméně, to je nejspíš jen chlubení, které útočníci využívají k propagaci a zvýšení ziskovosti svých útoků.

Zajímavě, někteří odborníci již kritizovali Prodaft za zveřejnění informací, což vedlo pouze k tomu, že společnost Conti zpřísnila zabezpečení svých serverů.

Připomínám, že jsme to také napsali Úl napaden ransomwarem Mediální trh a její provozovatelé požadují $ 240 milión.

Značky
Helga Smithlistopad 24, 2021Naposledy aktualizováno: listopad 24, 2021
73 2 přečtené minuty

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru