Το Conti ransomware έπεσε θύμα διαρροής δεδομένων

Ακόμη και χειριστές του ransomware Conti έπεσαν θύματα διαρροής δεδομένων: η ελβετική εταιρεία κυβερνοασφάλειας Prodaft μπόρεσε να προσδιορίσει την πραγματική διεύθυνση IP ενός από τους διακομιστές της ομάδας και παρέμεινε στο σύστημα για περισσότερο από ένα μήνα.

Ο διακομιστής που επηρεάστηκε ήταν η πύλη πληρωμών της ομάδας (ή τα λεγόμενα “διακομιστή ανάκτησης”) στο οποίο οι χάκερ κάλεσαν τα θύματά τους να διαπραγματευτούν λύτρα. Ο διακομιστής φιλοξενήθηκε από τον ουκρανικό hotser ITL LLC και βρίσκεται στη διεύθυνση IP 217.12.204.135.

Η ομάδα μας ανακάλυψε μια ευπάθεια στους διακομιστές ανάκτησης που Conti χρησιμοποιεί και εκμεταλλεύεται την ευπάθεια για να ανακαλύψει τις πραγματικές διευθύνσεις IP της κρυφής υπηρεσίας όπου φιλοξενήθηκε ο ιστότοπος.λέει ο Prodaft κανω ΑΝΑΦΟΡΑ.

Οι ερευνητές διατήρησαν την πρόσβαση στον διακομιστή για αρκετές εβδομάδες και παρακολούθησαν όλη την κίνηση του δικτύου και τις διευθύνσεις IP. Ενώ κάποιες από τις διευθύνσεις ανήκαν στα θύματα και στους μεσάζοντες τους, Η Prodaft παρακολούθησε επίσης συνδέσεις SSH που πιθανότατα ανήκαν στους ίδιους τους χάκερ. Αλίμονο, όλες οι διευθύνσεις IP SSH συσχετίστηκαν με τους κόμβους εξόδου Tor, αυτό είναι, δεν ήταν δυνατό να χρησιμοποιηθούν για την αναγνώριση μελών της ομάδας hack.

Διακομιστής Conti

Οι ερευνητές’ η έκθεση παρείχε επίσης άλλες πολύτιμες πληροφορίες, συμπεριλαμβανομένων πληροφοριών σχετικά με το λειτουργικό σύστημα του διακομιστή Conti και το αρχείο htpasswd, που περιείχε μια κατακερματισμένη έκδοση του κωδικού πρόσβασης διακομιστή. Η Prodaft τονίζει ότι έχει μοιραστεί όλα τα ευρήματά της με τις αρχές επιβολής του νόμου, και ορισμένες λεπτομέρειες κρατούνται μυστικές για να δοθεί χρόνος στις αρχές επιβολής του νόμου να αναλάβουν δράση.

Η δημοσίευση της έκθεσης δεν πέρασε απαρατήρητη όχι μόνο μεταξύ των ειδικών σε θέματα ασφάλειας πληροφοριών, αλλά και μεταξύ των ίδιων των χάκερ. Το θέμα είναι, η διαρροή της διεύθυνσης IP του διακομιστή και του κατακερματισμένου κωδικού πρόσβασης θα άνοιγε δυνητικά τον διακομιστή σε ανταγωνιστικές ομάδες hack. Σαν άποτέλεσμα, μέσα σε λίγες ώρες μετά τη δημοσίευση της έκθεσης, MalwareHunterTeam Οι ερευνητές παρατήρησαν ότι η Conti είχε κλείσει την πύλη πληρωμών της. Η ξαφνική διακοπή λειτουργίας του διακομιστή κατέστησε αδύνατο για τα πρόσφατα θύματα του Conti να επικοινωνήσουν με τους χάκερ και να πληρώσουν τα συνεχώς αυξανόμενα λύτρα.

Σαν άποτέλεσμα, Η πύλη πληρωμής Conti επέστρεψε στο διαδίκτυο περισσότερο από 24 ώρες μετά το κλείσιμο, και ένα θυμωμένο μήνυμα εμφανίστηκε στο blog της ομάδας hack, που λέει ότι “Οι Ευρωπαίοι φαίνεται ότι αποφάσισαν να ξεχάσουν τους τρόπους τους και συμπεριφέρθηκαν σαν νταήδες που προσπαθούν να χακάρουν τα συστήματά μας.”

Οι χάκερ αρνήθηκαν επίσης τον ισχυρισμό της Prodaft Την προηγούμενη εβδομάδα: οι ερευνητές έγραψαν ότι από τον Ιούλιο 2021, το ransomware “κερδηθείς” σχετικά με $ 25.5 εκατομμύριο. Οι χειριστές της Conti είπαν ότι στην πραγματικότητα έκαναν περισσότερα από $ 300,000,000 στα κέρδη. Ωστόσο, αυτό είναι πιθανότατα απλώς καυχησιολογία, που χρησιμοποιούν οι επιτιθέμενοι για να προωθήσουν τον εαυτό τους και να αυξήσουν την κερδοφορία των επιθέσεων τους.

Με ενδιαφέρο, ορισμένοι ειδικοί έχουν ήδη επικρίνει την Prodaft για δημόσια αποκάλυψη πληροφοριών, το οποίο οδήγησε μόνο στην ενίσχυση της ασφάλειας των διακομιστών της Conti.

Επιτρέψτε μου να σας υπενθυμίσω ότι το γράψαμε και αυτό Κυψέλη μολυσμένο ransomware αγορά ΜΜΕ και απαιτούν οι χειριστές του $ 240 εκατομμύριο.

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή