Conti-Ransomware wurde Opfer eines Datenlecks
Auch Betreiber der Conti-Ransomware wurden Opfer eines Datenlecks: das Schweizer Cybersicherheitsunternehmen Prodaft konnte feststellen die echte IP-Adresse eines der Server der Gruppe und blieb länger als einen Monat im System.
Der betroffene Server war das Zahlungsportal des Konzerns (oder sog “Wiederherstellungsserver”) zu dem Hacker ihre Opfer einluden, um ein Lösegeld auszuhandeln. Der Server wurde vom ukrainischen Hotser gehostet ITL LLC und befindet sich unter der IP-Adresse 217.12.204.135.
Die Forscher hielten mehrere Wochen lang Zugriff auf den Server und überwachten den gesamten Netzwerkverkehr und die IP-Adressen. Während einige der Adressen den Opfern und ihren Vermittlern gehörten, Prodaft verfolgte auch SSH-Verbindungen, die höchstwahrscheinlich den Hackern selbst gehörten. Ach, alle SSH-IP-Adressen wurden mit den Tor-Exit-Knoten verknüpft, das ist, es war nicht möglich, sie zur Identifizierung von Mitgliedern der Hackergruppe zu verwenden.
Die Forscher’ Bericht lieferte auch andere wertvolle Informationen, inklusive Informationen zum Betriebssystem des Conti-Servers und der htpasswd-Datei, die eine gehashte Version des Server-Passworts enthielt. Prodaft betont, dass es alle seine Ergebnisse mit den Strafverfolgungsbehörden geteilt hat, und einige Details werden geheim gehalten, um den Strafverfolgungsbehörden Zeit zu geben, Maßnahmen zu ergreifen.
Die Veröffentlichung des Berichts blieb nicht nur unter Informationssicherheitsexperten unbemerkt, aber auch unter den Hackern selbst. Der Punkt ist, Das Durchsickern der IP-Adresse und des gehashten Passworts des Servers würde den Server möglicherweise für konkurrierende Hackergruppen öffnen. Als Ergebnis, innerhalb weniger Stunden nach Veröffentlichung des Berichts, MalwareHunterTeam Forscher bemerkten, dass Conti ihr Zahlungsportal geschlossen hatte. Der plötzliche Serverausfall machte es den jüngsten Opfern von Conti unmöglich, die Hacker zu kontaktieren und das ständig steigende Lösegeld zu zahlen.
Als Ergebnis, Conti Zahlungsportal wieder online mehr als 24 Stunden nach dem Shutdown, und eine wütende Nachricht erschien auf dem Blog der Hackergruppe, was sagt das “Die Europäer scheinen beschlossen zu haben, ihre Manieren zu vergessen und sich wie Tyrannen zu verhalten, die versuchen, unsere Systeme zu hacken.”
Die Hacker bestritten auch die Behauptung von Prodaft letzte Woche: Forscher schrieben das seit Juli 2021, die Ransomware “verdient” Über $ 25.5 Million. Die Betreiber von Conti sagten, sie hätten tatsächlich mehr als $ 300,000,000 im Gewinn. jedoch, das ist höchstwahrscheinlich nur prahlen, die Angreifer nutzen, um für sich selbst zu werben und die Rentabilität ihrer Angriffe zu steigern.
Lass mich dich daran erinnern, dass wir das auch geschrieben haben Bienenstock Ransomware infiziert Medienmarkt und seine Betreiber verlangen $ 240 Million.
