תוכנת הכופר של Conti נפלה קורבן לדליפת נתונים
אפילו מפעילי תוכנת הכופר של Conti נפלו קורבן לדליפת נתונים: חברת אבטחת הסייבר השוויצרית Prodaft הצליח לקבוע כתובת ה-IP האמיתית של אחד משרתי הקבוצה ונשארה במערכת במשך יותר מחודש.
השרת המושפע היה פורטל התשלומים של הקבוצה (או מה שנקרא “שרת שחזור”) אליו הזמינו האקרים את קורבנותיהם לנהל משא ומתן על כופר. השרת התארח על ידי ה-hotser האוקראיני ITL LLC וממוקם בכתובת ה-IP 217.12.204.135.
החוקרים שמרו על גישה לשרת במשך מספר שבועות ועקבו אחר כל תעבורת הרשת וכתובות ה-IP. בעוד שחלק מהכתובות היו שייכות לקורבנות ולמתווכים שלהם, Prodaft גם עקבה אחר חיבורי SSH שככל הנראה היו שייכים להאקרים עצמם. אבוי, כל כתובות ה-IP של SSH היו משויכות לצמתי היציאה של Tor, זה, לא ניתן היה להשתמש בהם כדי לזהות חברים בקבוצת הפריצה.
החוקרים’ הדו"ח סיפק גם מידע בעל ערך אחר, כולל מידע על מערכת ההפעלה של שרת Conti וקובץ htpasswd, שהכילה גרסת גיבוב של סיסמת השרת. פרודאפט מדגישה כי שיתפה את כל ממצאיה עם גורמי אכיפת החוק, וכמה פרטים נשמרים בסוד כדי לתת לאכיפת החוק זמן לנקוט בפעולה.
פרסום הדו"ח לא נעלם מעיניו לא רק בקרב מומחי אבטחת מידע, אלא גם בקרב ההאקרים עצמם. הנקודה היא, הדלפת כתובת ה-IP והסיסמה הגובבת של השרת עלולה לפתוח את השרת לקבוצות פריצה מתחרות. כתוצאה, תוך מספר שעות לאחר פרסום הדו"ח, MalwareHunterTeam חוקרים שמו לב שקונטי סגרה את פורטל התשלומים שלה. ההשבתה הפתאומית של השרת איפשרה לקורבנותיו האחרונים של קונטי ליצור קשר עם ההאקרים ולשלם את הכופר ההולך וגדל..
כתוצאה, פורטל התשלומים Conti חזר באינטרנט יותר מ 24 שעות לאחר ההשבתה, והודעה זועמת הופיעה בבלוג של קבוצת הפריצה, שאומר את זה “נראה שהאירופאים החליטו לשכוח מהנימוסים שלהם והתנהגו כמו בריונים שמנסים לפרוץ למערכות שלנו.”
ההאקרים גם הכחישו את הטענה של פרודפט שבוע שעבר: חוקרים כתבו את זה מאז יולי 2021, תוכנת הכופר “הרוויח” על אודות $ 25.5 מִילִיוֹן. המפעילים של קונטי אמרו שהם למעשה הרוויחו יותר מ $ 300,000,000 ברווחים. למרות זאת, סביר להניח שזו רק התרברבות, שבו משתמשים התוקפים כדי לקדם את עצמם ולהגדיל את הרווחיות של ההתקפות שלהם.
הרשה לי להזכיר לך שגם אנחנו כתבנו את זה כוורת תוכנת כופר נגועה שוק מדיה והמפעילים שלה דורשים $ 240 מִילִיוֹן.
