Le ransomware Conti a été victime d'une fuite de données

Même les opérateurs du ransomware Conti ont été victimes d'une fuite de données: la société suisse de cybersécurité Prodaft a pu déterminer l'adresse IP réelle d'un des serveurs du groupe et restée dans le système plus d'un mois.

Le serveur concerné était le portail de paiement du groupe (ou soi-disant “serveur de récupération”) auquel les hackers invitaient leurs victimes à négocier une rançon. Le serveur était hébergé par le hotser ukrainien ITL SARL et situé à l'adresse IP 217.12.204.135.

Notre équipe a découvert une vulnérabilité dans les serveurs de récupération qui Conti utilise et a exploité la vulnérabilité pour découvrir les véritables adresses IP du service caché où le site était hébergé.dit le Prodaft rapport.

Les chercheurs ont gardé l'accès au serveur pendant plusieurs semaines et ont surveillé tout le trafic réseau et les adresses IP.. Alors que certaines adresses appartenaient aux victimes et à leurs intermédiaires, Prodaft a également suivi les connexions SSH qui appartenaient très probablement aux pirates eux-mêmes. Hélas, toutes les adresses IP SSH étaient associées aux nœuds de sortie Tor, C'est, il n'a pas été possible de les utiliser pour identifier les membres du groupe de hack.

Serveur Conti

Les chercheurs’ rapport a également fourni d'autres informations précieuses, comprenant des informations sur le système d'exploitation du serveur Conti et le fichier htpasswd, qui contenait une version hachée du mot de passe du serveur. Prodaft souligne qu'il a partagé toutes ses conclusions avec les forces de l'ordre, et certains détails sont gardés secrets pour donner aux forces de l'ordre le temps d'agir.

La publication du rapport n'est pas passée inaperçue non seulement parmi les experts en sécurité de l'information, mais aussi parmi les hackers eux-mêmes. Le point est, la fuite de l'adresse IP du serveur et du mot de passe haché ouvrirait potentiellement le serveur à des groupes de piratage concurrents. Par conséquent, quelques heures après la publication du rapport, MalwareHunterTeam les chercheurs ont remarqué que Conti avait fermé son portail de paiement. Le temps d'arrêt soudain du serveur a empêché les récentes victimes de Conti de contacter les pirates informatiques et de payer la rançon sans cesse croissante.

Par conséquent, Le portail de paiement Conti est revenu en ligne plus de 24 heures après l'arrêt, et un message de colère est apparu sur le blog du groupe hack, qui dit que “Les Européens semblent avoir décidé d'oublier leurs manières et se sont comportés comme des brutes essayant de pirater nos systèmes.”

Les pirates ont également nié l'affirmation de Prodaft faite La semaine dernière: les chercheurs ont écrit que depuis juillet 2021, le ransomware “gagné” À propos $ 25.5 million. Les opérateurs de Conti ont déclaré avoir fait plus de $ 300,000,000 en bénéfices. toutefois, c'est probablement juste de la vantardise, que les attaquants utilisent pour se promouvoir et augmenter la rentabilité de leurs attaques.

de façon intéressante, certains experts ont déjà critiqué Prodaft pour avoir divulgué publiquement des informations, ce qui a seulement conduit Conti à renforcer la sécurité de ses serveurs.

Permettez-moi de vous rappeler que nous avons également écrit que Ruche ransomware infecté Marché des médias et ses opérateurs exigent $ 240 million.

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page