Conti 랜섬웨어, 데이터 유출 피해

Conti 랜섬웨어 운영자도 데이터 유출 피해: 스위스 사이버 보안 회사 Prodaft 결정할 수 있었다 그룹 서버 중 하나의 실제 IP 주소로 시스템에 한 달 이상 남아 있음.

영향을 받는 서버는 그룹의 결제 포털이었습니다. (또는 소위 “복구 서버”) 해커가 몸값 협상을 위해 희생자를 초대했습니다.. 서버는 우크라이나 핫서가 호스팅했습니다. ITL LLC IP 주소에 위치 217.12.204.135.

우리 팀은 복구 서버에서 다음과 같은 취약점을 발견했습니다. 콘티 사이트가 호스팅된 숨겨진 서비스의 실제 IP 주소를 발견하기 위해 취약점을 사용 및 악용.말한다 프로다프트 보고서.

연구원들은 몇 주 동안 서버에 대한 액세스를 유지하고 모든 네트워크 트래픽과 IP 주소를 모니터링했습니다.. 일부 주소는 피해자와 중개인의 소유였습니다., Prodaft는 또한 해커 자신이 소유했을 가능성이 가장 높은 SSH 연결을 추적했습니다.. 아아, 모든 SSH IP 주소는 Tor 출구 노드와 연결되었습니다., 그건, 해킹 그룹의 구성원을 식별하는 데 사용할 수 없었습니다..

콘티 서버

연구원’ 보고서는 또한 다른 귀중한 정보를 제공했습니다, Conti 서버의 OS 및 htpasswd 파일에 대한 정보 포함, 서버 암호의 해시된 버전이 포함된. Prodaft는 모든 조사 결과를 법 집행 기관과 공유했음을 강조합니다., 법 집행 기관이 조치를 취할 시간을 주기 위해 일부 세부 사항은 비밀로 유지됩니다..

보고서 발간은 정보보안 전문가들 사이에서 뿐만 아니라, 뿐만 아니라 해커들 사이에서도. 요점은, 서버의 IP 주소와 해시된 암호가 유출되면 잠재적으로 경쟁하는 해킹 그룹에 서버가 노출될 수 있습니다.. 결과적으로, 보고서 발행 후 몇 시간 이내에, MalwareHunterTeam 연구원들은 Conti가 지불 포털을 폐쇄했음을 알아차렸습니다.. 갑작스러운 서버 다운타임으로 인해 Conti의 최근 피해자들은 해커에게 연락하여 계속 증가하는 몸값을 지불할 수 없었습니다..

결과적으로, Conti 지불 포털이 온라인으로 반환됨 24 종료 후 몇 시간, 그리고 해킹그룹 블로그에 화난글 올라옴, 그 말 “유럽인들은 그들의 매너를 잊어버리고 우리 시스템을 해킹하려는 불량배처럼 행동하기로 결정한 것 같습니다.”

해커는 또한 Prodaft의 주장을 부인했습니다. 지난주: 연구원들은 7월부터 2021, 랜섬웨어 “벌었다” ~에 대한 $ 25.5 백만. Conti의 운영자는 실제로 $ 300,000,000 이익으로. 하나, 이것은 단지 자랑일 가능성이 높습니다., 공격자가 자신을 홍보하고 공격의 수익성을 높이는 데 사용하는 것.

재미있게, 일부 전문가들은 이미 Prodaft가 정보를 공개적으로 공개한 것에 대해 비판했습니다., Conti가 서버의 보안을 강화하도록 이끌었습니다..

우리도 그렇게 썼다는 것을 상기시켜 드리겠습니다. 하이브 랜섬웨어 감염 미디어 시장 운영자가 요구하는 $ 240 백만.

헬가 스미스

저는 항상 컴퓨터 과학에 관심이있었습니다, 특히 데이터 보안 및 테마, 요즘은 "데이터 과학", 10 대 초반부터. 편집장으로 바이러스 제거 팀에 오기 전, 저는 여러 회사에서 사이버 보안 전문가로 일했습니다., 아마존 계약자 중 한 명 포함. 또 다른 경험: 나는 Arden과 Reading 대학에서 가르치고 있습니다..

회신을 남겨주

이 사이트는 스팸을 줄이기 위해 Akismet 플러그를 사용. 귀하의 코멘트 데이터가 처리되는 방법 알아보기.

맨 위로 버튼