Conti ransomware blev offer for et datalæk

Helga Smithnovember 24, 2021Sidst opdateret: november 24, 2021
74 2 minutter læst

Selv operatører af Conti ransomware blev ofre for et datalæk: det schweiziske cybersikkerhedsfirma Prodaft kunne bestemme den rigtige IP-adresse på en af ​​gruppens servere og forblev i systemet i mere end en måned.

Den berørte server var gruppens betalingsportal (eller såkaldte “gendannelsesserver”) hvortil hackere inviterede deres ofre til at forhandle en løsesum. Serveren var hostet af den ukrainske hotser ITL LLC og placeret på IP-adressen 217.12.204.135.

Vores team opdagede en sårbarhed i gendannelsesserverne, der Conti bruger og udnytter sårbarheden til at finde de rigtige IP-adresser på den skjulte tjeneste, hvor webstedet var hostet.siger Prodaft rapport.

Forskerne beholdt adgangen til serveren i flere uger og overvågede al netværkstrafik og IP-adresser. Mens nogle af adresserne tilhørte ofrene og deres mellemmænd, Prodaft sporede også SSH-forbindelser, der højst sandsynligt tilhørte hackerne selv. Ak, alle SSH IP-adresser var knyttet til Tor-udgangsnoderne, det er, det var ikke muligt at bruge dem til at identificere medlemmer af hackergruppen.

Conti Server

Forskerne’ rapporten gav også andre værdifulde oplysninger, herunder oplysninger om OS på Conti-serveren og htpasswd-filen, som indeholdt en hashed version af serveradgangskoden. Prodaft understreger, at det har delt alle sine resultater med retshåndhævelsen, og nogle detaljer holdes hemmelige for at give retshåndhævelsen tid til at handle.

Offentliggørelsen af ​​rapporten gik ikke ubemærket hen, ikke kun blandt informationssikkerhedseksperter, men også blandt hackerne selv. Pointen er, Lækker serverens IP-adresse og hash-kodeord vil potentielt åbne serveren op for konkurrerende hackgrupper. Som resultat, inden for få timer efter offentliggørelsen af ​​rapporten, MalwareHunterTeam forskere bemærkede, at Conti havde lukket sin betalingsportal. Den pludselige servernedetid gjorde det umuligt for Contis nylige ofre at kontakte hackerne og betale den stadigt stigende løsesum.

Som resultat, Conti betalingsportal returnerede online mere end 24 timer efter nedlukningen, og en vred besked dukkede op på hackergruppens blog, som siger det “Europæere ser ud til at have besluttet at glemme deres manerer og opførte sig som bøller, der forsøgte at hacke vores systemer.”

Hackerne afviste også Prodafts påstand sidste uge: Det har forskere skrevet siden juli 2021, ransomwaren “tjent” om $ 25.5 million. Contis operatører sagde, at de faktisk lavede mere end $ 300,000,000 i overskud. Imidlertid, dette er højst sandsynligt bare pral, som angribere bruger til at promovere sig selv og øge rentabiliteten af ​​deres angreb.

Interessant, nogle eksperter har allerede kritiseret Prodaft for at offentliggøre oplysninger, hvilket kun førte til, at Conti strammede sikkerheden på sine servere.

Lad mig minde dig om, at vi også skrev det Hive ransomware inficeret Mediemarked og dets operatører efterspørger $ 240 million.

Mærker
Helga Smithnovember 24, 2021Sidst opdateret: november 24, 2021
74 2 minutter læst

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap