Conti lausnarhugbúnaður varð fórnarlamb gagnaleka

Helga Smithnóvember 24, 2021Síðast uppfært: nóvember 24, 2021
2 mínútur lesnar

Jafnvel rekstraraðilar Conti lausnarhugbúnaðarins urðu fórnarlamb gagnaleka: svissneska netöryggisfyrirtækið Prodaft gat ákveðið raunverulegt IP-tala eins af netþjónum hópsins og var í kerfinu í meira en mánuð.

Miðlarinn sem varð fyrir áhrifum var greiðslugátt hópsins (eða svokallaða “endurheimtarþjónn”) þar sem tölvuþrjótar buðu fórnarlömbum sínum að semja um lausnargjald. Miðlarinn var hýst af úkraínska netþjóninum ITL LLC og staðsett á IP tölunni 217.12.204.135.

Lið okkar uppgötvaði varnarleysi í bataþjónum sem Conti notar og nýtti sér varnarleysið til að uppgötva raunverulegar IP tölur huldu þjónustunnar þar sem vefsvæðið var hýst.segir Prodaft skýrslu.

Rannsakendur héldu aðgangi að þjóninum í nokkrar vikur og fylgdust með allri netumferð og IP tölum. Á meðan sum heimilisföngin tilheyrðu fórnarlömbunum og milliliðum þeirra, Prodaft rakti einnig SSH tengingar sem líklega tilheyrðu tölvuþrjótunum sjálfum. Því miður, allar SSH IP tölur voru tengdar Tor útgönguhnútum, það er, ekki var hægt að nota þá til að bera kennsl á meðlimi hakkahópsins.

Netþjónareikningar

Rannsakendurnir’ skýrslan gaf einnig aðrar mikilvægar upplýsingar, þar á meðal upplýsingar um stýrikerfi Conti netþjónsins og htpasswd skrána, sem innihélt hashed útgáfu af lykilorði miðlarans. Prodaft leggur áherslu á að það hafi deilt öllum niðurstöðum sínum með lögreglunni, og sumum upplýsingum er haldið leyndum til að gefa löggæslunni tíma til að grípa til aðgerða.

Birting skýrslunnar fór ekki framhjá neinum, ekki aðeins meðal sérfræðinga í upplýsingaöryggi, en einnig meðal tölvuþrjótanna sjálfra. Aðalatriðið er, leki IP tölu netþjónsins og hashed lykilorð myndi hugsanlega opna netþjóninn fyrir samkeppnishestur hópa. Þar af leiðandi, innan nokkurra klukkustunda eftir birtingu skýrslunnar, MalwareHunterTeam vísindamenn tóku eftir því að Conti hafði lokað greiðslugátt sinni. Skyndileg stöðvun netþjónsins gerði nýlegum fórnarlömbum Conti ómögulegt að hafa samband við tölvuþrjótana og greiða síhækkandi lausnargjaldið.

Þar af leiðandi, Conti greiðslugátt skilaði á netinu meira en 24 klukkustundum eftir lokun, og reið skilaboð birtust á bloggi hakkahópsins, sem segir það “Evrópubúar virðast hafa ákveðið að gleyma hegðun sinni og haga sér eins og hrekkjusvín sem reyndu að hakka kerfin okkar.”

Tölvuþrjótarnir neituðu einnig fullyrðingu Prodaft í síðustu viku: vísindamenn skrifuðu það síðan í júlí 2021, lausnarhugbúnaðinn “unnið” um $ 25.5 milljón. Rekstraraðilar Conti sögðu að þeir græddu í raun meira en $ 300,000,000 í hagnað. Hins vegar, þetta er líklegast bara mont, sem árásarmenn nota til að kynna sig og auka arðsemi árása sinna.

Athyglisvert, sumir sérfræðingar hafa þegar gagnrýnt Prodaft fyrir að birta upplýsingar opinberlega, sem leiddi aðeins til þess að Conti herti öryggi netþjóna sinna.

Ég minni á að við skrifuðum það líka Hive lausnarhugbúnaður sýktur MediaMarkt og rekstraraðilar þess krefjast $ 240 milljón.

Merki
Helga Smithnóvember 24, 2021Síðast uppfært: nóvember 24, 2021
2 mínútur lesnar

Helga Smith

Ég hafði alltaf áhuga á tölvunarfræði, sérstaklega gagnaöryggi og þemað, sem heitir nú á dögum "gagnafræði", síðan á unglingsárum mínum. Áður en þú kemur inn í teymið til að fjarlægja veirur sem aðalritstjóri, Ég starfaði sem sérfræðingur í netöryggi í nokkrum fyrirtækjum, þar á meðal einn af verktökum Amazon. Önnur upplifun: Ég hef kennt í Arden og Reading háskólunum.

Skildu eftir skilaboð

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummælagögnin þín eru unnin.

Aftur efst á hnappinn