Contiランサムウェアがデータ漏洩の犠牲になりました

Contiランサムウェアのオペレーターでさえ、データ漏洩の犠牲になりました: スイスのサイバーセキュリティ会社Prodaft 決定することができました グループのサーバーの1つの実際のIPアドレスであり、1か月以上システムに残っていた.

影響を受けたサーバーは、グループの支払いポータルでした (またはいわゆる “リカバリサーバー”) ハッカーが犠牲者を身代金交渉に招待した. サーバーはウクライナのhotserによってホストされていました ITL LLC IPアドレスにあります 217.12.204.135.

研究者はサーバーへのアクセスを数週間維持し、すべてのネットワークトラフィックとIPアドレスを監視しました. 一部の住所は被害者とその仲介者のものでしたが, Prodaftは、ハッカー自身が所有している可能性が最も高いSSH接続も追跡しました。. 悲しいかな, すべてのSSHIPアドレスはTor出口ノードに関連付けられていました, あれは, それらを使用してハッキンググループのメンバーを特定することはできませんでした.

研究者’ レポートは他の貴重な情報も提供しました, ContiサーバーのOSとhtpasswdファイルに関する情報を含む, サーバーパスワードのハッシュバージョンが含まれていました. Prodaftは、調査結果のすべてを法執行機関と共有していることを強調しています, 法執行機関が行動を起こす時間を与えるために、いくつかの詳細は秘密にされています.

レポートの発行は、情報セキュリティの専門家の間だけでなく、見過ごされていませんでした。, ハッカー自身の間でも. ポイントは, サーバーのIPアドレスとハッシュ化されたパスワードを漏らすと、サーバーが競合するハッキンググループにさらされる可能性があります。. 結果として, レポートの発行後数時間以内, MalwareHunterTeam 研究者たちは、コンティが支払いポータルを閉鎖したことに気づきました. サーバーの突然のダウンタイムにより、コンティの最近の被害者がハッカーに連絡して、増え続ける身代金を支払うことができなくなりました。.

結果として, Conti支払いポータルがオンラインで返送されました 24 シャットダウン後数時間, そして、ハックグループのブログに怒りのメッセージが現れました, それはそれを言います “ヨーロッパ人は彼らのマナーを忘れることを決心し、私たちのシステムをハッキングしようとするいじめっ子のように振る舞ったようです。”

ハッカーはまた、Prodaftの主張を否定しました 先週: 研究者は7月以来それを書いた 2021, ランサムウェア “稼いだ” だいたい $ 25.5 百万. コンティのオペレーターは、実際には $ 300,000,000 利益で. しかしながら, これはおそらく自慢しているだけです, 攻撃者が自分自身を宣伝し、攻撃の収益性を高めるために使用するもの.

私たちもそれを書いたことを思い出させてください ハイブ ランサムウェアに感染 メディア市場 とそのオペレーターは要求します $ 240 百万.