Conti ransomware joutui tietovuodon uhriksi

Helga Smithmarraskuu 24, 2021Viimeksi päivitetty: marraskuu 24, 2021
73 2 minuuttia luettu

Jopa Conti ransomwaren operaattorit joutuivat tietovuodon uhriksi: Sveitsiläinen kyberturvallisuusyhtiö Prodaft pystyi määrittämään yhden ryhmän palvelimen todellisen IP-osoitteen ja pysyi järjestelmässä yli kuukauden.

Kyseinen palvelin oli ryhmän maksuportaali (tai ns “palautuspalvelin”) johon hakkerit kutsuivat uhrinsa neuvottelemaan lunnaista. Palvelinta isännöi Ukrainan hotser ITL LLC ja sijaitsee IP-osoitteessa 217.12.204.135.

Tiimimme havaitsi palautuspalvelimissa haavoittuvuuden Conti käyttää ja hyödyntää haavoittuvuutta löytääkseen piilotetun palvelun todelliset IP-osoitteet, jossa sivustoa isännöitiin.sanoo Prodaft raportti.

Tutkijat pitivät pääsyä palvelimelle useita viikkoja ja seurasivat kaikkea verkkoliikennettä ja IP-osoitteita. Osa osoitteista kuului uhreille ja heidän välittäjilleen, Prodaft seurasi myös SSH-yhteyksiä, jotka todennäköisesti kuuluivat hakkereille itselleen. Valitettavasti, kaikki SSH-IP-osoitteet liitettiin Tor-poistumissolmuihin, tuo on, niitä ei voitu käyttää hakkerointiryhmän jäsenten tunnistamiseen.

Conti-palvelin

Tutkijat’ raportti antoi myös muuta arvokasta tietoa, mukaan lukien tiedot Conti-palvelimen käyttöjärjestelmästä ja htpasswd-tiedostosta, joka sisälsi tiivistetyn version palvelimen salasanasta. Prodaft korostaa, että se on jakanut kaikki havainnot lainvalvontaviranomaisten kanssa, ja jotkut yksityiskohdat pidetään salassa, jotta lainvalvontaviranomaiset voivat ryhtyä toimiin.

Raportin julkaiseminen ei jäänyt huomaamatta vain tietoturva-asiantuntijoiden keskuudessa, mutta myös itse hakkereiden keskuudessa. Pointti on, palvelimen IP-osoitteen ja hajautetun salasanan vuotaminen saattaa avata palvelimen kilpaileville hakkerointiryhmille. Tuloksena, muutaman tunnin kuluessa raportin julkaisemisesta, MalwareHunterTeam tutkijat huomasivat, että Conti oli sulkenut maksuportaalinsa. Äkillinen palvelinkatkos teki mahdottomaksi Contin viimeaikaisten uhrien ottaa yhteyttä hakkereihin ja maksaa jatkuvasti kasvavaa lunnaita.

Tuloksena, Conti-maksuportaali palasi verkkoon yli 24 tuntia sammutuksen jälkeen, ja vihainen viesti ilmestyi hakkerointiryhmän blogiin, joka sanoo sen “Eurooppalaiset näyttävät päättäneen unohtaa tapansa ja käyttäytyneet kuin kiusaajat, jotka yrittävät hakkeroida järjestelmiämme.”

Hakkerit myös kiistivät Prodaftin väitteen viime viikko: tutkijat ovat kirjoittaneet sen heinäkuusta lähtien 2021, lunnasohjelma “ansainnut” noin $ 25.5 miljoonaa. Contin operaattorit sanoivat tienaavansa enemmän kuin $ 300,000,000 voitoissa. kuitenkin, tämä on todennäköisesti vain kehumista, joita hyökkääjät käyttävät mainostaakseen itseään ja lisätäkseen hyökkäystensä tuottavuutta.

Mielenkiintoista, Jotkut asiantuntijat ovat jo kritisoineet Prodaftia tietojen julkistamisesta, mikä johti vain siihen, että Conti kiristi palvelimiensa turvallisuutta.

Muistutan, että kirjoitimme myös sen Pesä ransomware-tartunnan saaneet Mediamarkkinat ja sen operaattorit vaativat $ 240 miljoonaa.

Tunnisteet
Helga Smithmarraskuu 24, 2021Viimeksi päivitetty: marraskuu 24, 2021
73 2 minuuttia luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike