Conti ransomware slachtoffer van een datalek

Helga Smithnovember 24, 2021Laatst bijgewerkt: november 24, 2021
73 2 minuten lezen

Zelfs operators van de Conti-ransomware werden slachtoffer van een datalek: het Zwitserse cyberbeveiligingsbedrijf Prodaft kon bepalen het echte IP-adres van een van de servers van de groep en bleef meer dan een maand in het systeem.

De getroffen server was het betalingsportaal van de groep (of zogenaamd “herstelserver”) waarop hackers hun slachtoffers uitnodigden om losgeld te onderhandelen. De server werd gehost door de Oekraïense hotser ITL LLC en bevindt zich op het IP-adres 217.12.204.135.

Ons team ontdekte een kwetsbaarheid in de herstelservers die: continu gebruikt en misbruikt het beveiligingslek om de echte IP-adressen te ontdekken van de verborgen service waar de site werd gehost.zegt de Prodaft verslag doen van.

De onderzoekers hielden enkele weken toegang tot de server en hielden al het netwerkverkeer en IP-adressen in de gaten. Terwijl sommige adressen toebehoorden aan de slachtoffers en hun tussenpersonen, Prodaft volgde ook SSH-verbindingen die hoogstwaarschijnlijk van de hackers zelf waren. Helaas, alle SSH IP-adressen waren gekoppeld aan de Tor exit-knooppunten, dat is, het was niet mogelijk om ze te gebruiken om leden van de hackgroep te identificeren.

Conti-server

De onderzoekers’ rapport leverde ook andere waardevolle informatie op, inclusief informatie over het besturingssysteem van de Conti-server en het htpasswd-bestand, die een gehashte versie van het serverwachtwoord bevatte. Prodaft benadrukt dat het al zijn bevindingen heeft gedeeld met wetshandhavers, en sommige details worden geheim gehouden om wetshandhavers de tijd te geven om actie te ondernemen.

De publicatie van het rapport bleef niet onopgemerkt, niet alleen onder experts op het gebied van informatiebeveiliging, maar ook onder de hackers zelf. Het punt is, het lekken van het IP-adres en het gehashte wachtwoord van de server zou de server mogelijk openstellen voor concurrerende hackgroepen. Als resultaat, binnen enkele uren na publicatie van het rapport, MalwareHunterTeam onderzoekers merkten op dat Conti zijn betalingsportaal had afgesloten. De plotselinge downtime van de server maakte het voor Conti's recente slachtoffers onmogelijk om contact op te nemen met de hackers en het steeds hogere losgeld te betalen.

Als resultaat, Conti-betalingsportaal keerde meer dan online terug 24 uur na de sluiting, en er verscheen een boos bericht op de blog van de hackgroep, die zegt dat “Europeanen lijken te hebben besloten hun manieren te vergeten en gedroegen zich als pestkoppen die onze systemen probeerden te hacken.”

De hackers ontkenden ook de bewering van Prodaft vorige week: onderzoekers schreven dat sinds juli 2021, de ransomware “verdiend” wat betreft $ 25.5 miljoen. De operators van Conti zeiden dat ze eigenlijk meer verdienden dan: $ 300,000,000 in winst. Echter, dit is waarschijnlijk gewoon opscheppen, die aanvallers gebruiken om zichzelf te promoten en de winstgevendheid van hun aanvallen te vergroten.

interessant genoeg, sommige experts hebben Prodaft al bekritiseerd voor het openbaar maken van informatie, wat er alleen maar toe leidde dat Conti de beveiliging van zijn servers aanscherpte.

Laat me je eraan herinneren dat we dat ook schreven Bijenkorf ransomware geïnfecteerd MediaMarkt en zijn exploitanten eisen: $ 240 miljoen.

Tags
Helga Smithnovember 24, 2021Laatst bijgewerkt: november 24, 2021
73 2 minuten lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop