Conti løsepengevare ble offer for en datalekkasje

Helga Smithnovember 24, 2021Sist oppdatert: november 24, 2021
73 2 minutter lest

Selv operatører av Conti-ransomware ble offer for en datalekkasje: det sveitsiske cybersikkerhetsselskapet Prodaft klarte å fastslå den virkelige IP-adressen til en av gruppens servere og forble i systemet i mer enn en måned.

Den berørte serveren var gruppens betalingsportal (eller såkalt “gjenopprettingsserver”) hvor hackere inviterte sine ofre til å forhandle om løsepenger. Serveren ble hostet av den ukrainske hotseren ITL LLC og ligger på IP-adressen 217.12.204.135.

Teamet vårt oppdaget en sårbarhet i gjenopprettingsserverne som Conti bruker og utnyttet sårbarheten til å oppdage de virkelige IP-adressene til den skjulte tjenesten der nettstedet var vert.sier Prodaft rapportere.

Forskerne holdt tilgang til serveren i flere uker og overvåket all nettverkstrafikk og IP-adresser. Mens noen av adressene tilhørte ofrene og deres mellommenn, Prodaft sporet også SSH-forbindelser som mest sannsynlig tilhørte hackerne selv. Akk, alle SSH IP-adresser var assosiert med Tor-utgangsnodene, det er, det var ikke mulig å bruke dem til å identifisere medlemmer av hackergruppen.

Conti Server

Forskerne’ rapporten ga også annen verdifull informasjon, inkludert informasjon om operativsystemet til Conti-serveren og htpasswd-filen, som inneholdt en hashet versjon av serverpassordet. Prodaft understreker at de har delt alle funnene sine med rettshåndhevelse, og noen detaljer holdes hemmelige for å gi rettshåndhevelse tid til å iverksette tiltak.

Publiseringen av rapporten gikk ikke upåaktet hen, ikke bare blant informasjonssikkerhetseksperter, men også blant hackerne selv. Poenget er, å lekke serverens IP-adresse og hash-passord vil potensielt åpne serveren for konkurrerende hackergrupper. Som et resultat, innen få timer etter publisering av rapporten, MalwareHunterTeam forskere la merke til at Conti hadde stengt betalingsportalen sin. Den plutselige servernedetiden gjorde det umulig for Contis nylige ofre å kontakte hackerne og betale den stadig økende løsepengene.

Som et resultat, Conti betalingsportal returnerte online mer enn 24 timer etter nedleggelsen, og en sint melding dukket opp på bloggen til hackergruppen, som sier det “Europeere ser ut til å ha bestemt seg for å glemme oppførselen deres og oppførte seg som mobbere som prøver å hacke systemene våre.”

Hackerne benektet også Prodafts påstand forrige uke: forskere skrev det siden juli 2021, løsepengevaren “tjent” Om $ 25.5 million. Contis operatører sa at de faktisk tjente mer enn $ 300,000,000 i overskudd. derimot, dette er mest sannsynlig bare skryt, som angripere bruker for å promotere seg selv og øke lønnsomheten til angrepene sine.

Interessant, noen eksperter har allerede kritisert Prodaft for å offentliggjøre informasjon, som bare førte til at Conti strammet sikkerheten til serverne sine.

La meg minne deg på at vi også skrev det Hive løsepengevare infisert Mediemarkedet og dets operatører etterspør $ 240 million.

Merker
Helga Smithnovember 24, 2021Sist oppdatert: november 24, 2021
73 2 minutter lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen