Conti løsepengevare ble offer for en datalekkasje
Selv operatører av Conti-ransomware ble offer for en datalekkasje: det sveitsiske cybersikkerhetsselskapet Prodaft klarte å fastslå den virkelige IP-adressen til en av gruppens servere og forble i systemet i mer enn en måned.
Den berørte serveren var gruppens betalingsportal (eller såkalt “gjenopprettingsserver”) hvor hackere inviterte sine ofre til å forhandle om løsepenger. Serveren ble hostet av den ukrainske hotseren ITL LLC og ligger på IP-adressen 217.12.204.135.
Forskerne holdt tilgang til serveren i flere uker og overvåket all nettverkstrafikk og IP-adresser. Mens noen av adressene tilhørte ofrene og deres mellommenn, Prodaft sporet også SSH-forbindelser som mest sannsynlig tilhørte hackerne selv. Akk, alle SSH IP-adresser var assosiert med Tor-utgangsnodene, det er, det var ikke mulig å bruke dem til å identifisere medlemmer av hackergruppen.
Forskerne’ rapporten ga også annen verdifull informasjon, inkludert informasjon om operativsystemet til Conti-serveren og htpasswd-filen, som inneholdt en hashet versjon av serverpassordet. Prodaft understreker at de har delt alle funnene sine med rettshåndhevelse, og noen detaljer holdes hemmelige for å gi rettshåndhevelse tid til å iverksette tiltak.
Publiseringen av rapporten gikk ikke upåaktet hen, ikke bare blant informasjonssikkerhetseksperter, men også blant hackerne selv. Poenget er, å lekke serverens IP-adresse og hash-passord vil potensielt åpne serveren for konkurrerende hackergrupper. Som et resultat, innen få timer etter publisering av rapporten, MalwareHunterTeam forskere la merke til at Conti hadde stengt betalingsportalen sin. Den plutselige servernedetiden gjorde det umulig for Contis nylige ofre å kontakte hackerne og betale den stadig økende løsepengene.
Som et resultat, Conti betalingsportal returnerte online mer enn 24 timer etter nedleggelsen, og en sint melding dukket opp på bloggen til hackergruppen, som sier det “Europeere ser ut til å ha bestemt seg for å glemme oppførselen deres og oppførte seg som mobbere som prøver å hacke systemene våre.”
Hackerne benektet også Prodafts påstand forrige uke: forskere skrev det siden juli 2021, løsepengevaren “tjent” Om $ 25.5 million. Contis operatører sa at de faktisk tjente mer enn $ 300,000,000 i overskudd. derimot, dette er mest sannsynlig bare skryt, som angripere bruker for å promotere seg selv og øke lønnsomheten til angrepene sine.
La meg minne deg på at vi også skrev det Hive løsepengevare infisert Mediemarkedet og dets operatører etterspør $ 240 million.