Le ransomware Conti a été victime d'une fuite de données
Même les opérateurs du ransomware Conti ont été victimes d'une fuite de données: la société suisse de cybersécurité Prodaft a pu déterminer l'adresse IP réelle d'un des serveurs du groupe et restée dans le système plus d'un mois.
Le serveur concerné était le portail de paiement du groupe (ou soi-disant “serveur de récupération”) auquel les hackers invitaient leurs victimes à négocier une rançon. Le serveur était hébergé par le hotser ukrainien ITL SARL et situé à l'adresse IP 217.12.204.135.
Les chercheurs ont gardé l'accès au serveur pendant plusieurs semaines et ont surveillé tout le trafic réseau et les adresses IP.. Alors que certaines adresses appartenaient aux victimes et à leurs intermédiaires, Prodaft a également suivi les connexions SSH qui appartenaient très probablement aux pirates eux-mêmes. Hélas, toutes les adresses IP SSH étaient associées aux nœuds de sortie Tor, C'est, il n'a pas été possible de les utiliser pour identifier les membres du groupe de hack.
Les chercheurs’ rapport a également fourni d'autres informations précieuses, comprenant des informations sur le système d'exploitation du serveur Conti et le fichier htpasswd, qui contenait une version hachée du mot de passe du serveur. Prodaft souligne qu'il a partagé toutes ses conclusions avec les forces de l'ordre, et certains détails sont gardés secrets pour donner aux forces de l'ordre le temps d'agir.
La publication du rapport n'est pas passée inaperçue non seulement parmi les experts en sécurité de l'information, mais aussi parmi les hackers eux-mêmes. Le point est, la fuite de l'adresse IP du serveur et du mot de passe haché ouvrirait potentiellement le serveur à des groupes de piratage concurrents. Par conséquent, quelques heures après la publication du rapport, MalwareHunterTeam les chercheurs ont remarqué que Conti avait fermé son portail de paiement. Le temps d'arrêt soudain du serveur a empêché les récentes victimes de Conti de contacter les pirates informatiques et de payer la rançon sans cesse croissante.
Par conséquent, Le portail de paiement Conti est revenu en ligne plus de 24 heures après l'arrêt, et un message de colère est apparu sur le blog du groupe hack, qui dit que “Les Européens semblent avoir décidé d'oublier leurs manières et se sont comportés comme des brutes essayant de pirater nos systèmes.”
Les pirates ont également nié l'affirmation de Prodaft faite La semaine dernière: les chercheurs ont écrit que depuis juillet 2021, le ransomware “gagné” À propos $ 25.5 million. Les opérateurs de Conti ont déclaré avoir fait plus de $ 300,000,000 en bénéfices. toutefois, c'est probablement juste de la vantardise, que les attaquants utilisent pour se promouvoir et augmenter la rentabilité de leurs attaques.
Permettez-moi de vous rappeler que nous avons également écrit que Ruche ransomware infecté Marché des médias et ses opérateurs exigent $ 240 million.