Conti ransomware fue víctima de una fuga de datos
Incluso los operadores del ransomware Conti fueron víctimas de una fuga de datos.: la empresa suiza de ciberseguridad Prodaft fue capaz de determinar la dirección IP real de uno de los servidores del grupo y permaneció en el sistema durante más de un mes.
El servidor afectado era el portal de pagos del grupo. (o así llamado “servidor de recuperación”) a los que los piratas informáticos invitaron a sus víctimas a negociar un rescate. El servidor fue alojado por el hotser ucraniano ITL LLC y ubicado en la dirección IP 217.12.204.135.
Los investigadores mantuvieron el acceso al servidor durante varias semanas y monitorearon todo el tráfico de la red y las direcciones IP.. Si bien algunas de las direcciones pertenecían a las víctimas y sus intermediarios, Prodaft también rastreó las conexiones SSH que probablemente pertenecían a los propios piratas informáticos.. Pobre de mí, todas las direcciones IP SSH se asociaron con los nodos de salida de Tor, es decir, no fue posible usarlos para identificar miembros del grupo de piratería.
Los investigadores’ El informe también proporcionó otra información valiosa, incluida información sobre el sistema operativo del servidor Conti y el archivo htpasswd, que contenía una versión hash de la contraseña del servidor. Prodaft enfatiza que ha compartido todos sus hallazgos con las fuerzas del orden., y algunos detalles se mantienen en secreto para que las fuerzas del orden tengan tiempo de actuar.
La publicación del informe no pasó desapercibida no solo entre los expertos en seguridad de la información, pero también entre los propios hackers. La cuestión es, filtrar la dirección IP del servidor y la contraseña hash podría abrir el servidor a grupos de piratería competidores. Como resultado, pocas horas después de la publicación del informe, MalwareHunterEquipo los investigadores notaron que Conti había cerrado su portal de pagos. El repentino tiempo de inactividad del servidor hizo imposible que las víctimas recientes de Conti contactaran a los piratas informáticos y pagaran el rescate cada vez mayor..
Como resultado, El portal de pagos de Conti se devolvió en línea más de 24 horas después del cierre, y apareció un mensaje enojado en el blog del grupo hack, que dice que “Los europeos parecen haber decidido olvidarse de sus modales y comportarse como matones tratando de piratear nuestros sistemas.”
Los piratas informáticos también negaron la afirmación de Prodaft hecha la semana pasada: los investigadores escribieron que desde julio 2021, el ransomware “ganado” sobre $ 25.5 millón. Los operadores de Conti dijeron que en realidad ganaban más de $ 300,000,000 en ganancias. sin embargo, lo más probable es que esto sea solo fanfarronear, que utilizan los atacantes para promocionarse y aumentar la rentabilidad de sus ataques.
Déjame recordarte que también escribimos eso Colmena ransomware infectado Mercado de los medios y sus operadores exigen $ 240 millón.