Il ransomware Conti è stato vittima di una fuga di dati
Anche gli operatori del ransomware Conti sono stati vittime di una fuga di dati: la società svizzera di sicurezza informatica Prodaft è stato in grado di determinare il vero indirizzo IP di uno dei server del gruppo ed è rimasto nel sistema per più di un mese.
Il server interessato era il portale di pagamento del gruppo (o cosiddetto “server di ripristino”) a cui gli hacker hanno invitato le loro vittime a negoziare un riscatto. Il server è stato ospitato dall'hotser ucraino ITL LLC e situato all'indirizzo IP 217.12.204.135.
I ricercatori hanno mantenuto l'accesso al server per diverse settimane e hanno monitorato tutto il traffico di rete e gli indirizzi IP. Mentre alcuni degli indirizzi appartenevano alle vittime e ai loro intermediari, Prodaft ha anche tracciato le connessioni SSH che molto probabilmente appartenevano agli stessi hacker. Ahimè, tutti gli indirizzi IP SSH erano associati ai nodi di uscita Tor, questo è, non è stato possibile usarli per identificare i membri del gruppo di hacker.
I ricercatori’ il rapporto ha fornito anche altre preziose informazioni, comprese le informazioni sul sistema operativo del server Conti e il file htpasswd, che conteneva una versione con hash della password del server. Prodaft sottolinea di aver condiviso tutti i suoi risultati con le forze dell'ordine, e alcuni dettagli sono tenuti segreti per dare alle forze dell'ordine il tempo di agire.
La pubblicazione del rapporto non è passata inosservata non solo tra gli esperti di sicurezza informatica, ma anche tra gli hacker stessi. Il punto è, la perdita dell'indirizzo IP del server e della password con hash potrebbe potenzialmente aprire il server a gruppi di hacker concorrenti. Di conseguenza, entro poche ore dalla pubblicazione del rapporto, MalwareHunterTeam i ricercatori hanno notato che Conti aveva chiuso il suo portale di pagamento. L'improvviso downtime del server ha reso impossibile alle recenti vittime di Conti di contattare gli hacker e pagare il riscatto sempre crescente.
Di conseguenza, Il portale di pagamento Conti è tornato online più di 24 ore dopo lo spegnimento, e un messaggio arrabbiato è apparso sul blog del gruppo hack, che dice che “Gli europei sembrano aver deciso di dimenticare le loro buone maniere e si sono comportati come prepotenti che cercano di hackerare i nostri sistemi.”
Gli hacker hanno anche smentito l'affermazione fatta da Prodaft la settimana scorsa: i ricercatori hanno scritto che da luglio 2021, il ransomware “guadagnato” di $ 25.5 milioni. Gli operatori di Conti hanno affermato di aver effettivamente guadagnato più di $ 300,000,000 nei profitti. però, molto probabilmente è solo vantarsi, che gli aggressori usano per promuoversi e aumentare la redditività dei loro attacchi.
Vi ricordo che l'abbiamo anche scritto Alveare ransomware infetto Mercato dei media e i suoi operatori chiedono $ 240 milioni.