O Conti ransomware foi vítima de um vazamento de dados

Helga Smithnovembro 24, 2021Última Actualização novembro 24, 2021
74 lido 2 minutos

Até mesmo os operadores do Conti ransomware foram vítimas de um vazamento de dados: a empresa suíça de segurança cibernética Prodaft foi capaz de determinar o endereço IP real de um dos servidores do grupo e permaneceu no sistema por mais de um mês.

O servidor afetado foi o portal de pagamento do grupo (ou assim chamado “servidor de recuperação”) para o qual os hackers convidaram suas vítimas para negociar um resgate. O servidor foi hospedado pelo hotser ucraniano ITL LLC e localizado no endereço IP 217.12.204.135.

Nossa equipe descobriu uma vulnerabilidade nos servidores de recuperação que Conti usa e explora a vulnerabilidade para descobrir os endereços IP reais do serviço oculto onde o site estava hospedado.diz o Prodaft relatório.

Os pesquisadores mantiveram o acesso ao servidor por várias semanas e monitoraram todo o tráfego de rede e endereços IP. Embora alguns dos endereços pertençam às vítimas e seus intermediários, Prodaft também rastreou conexões SSH que provavelmente pertenciam aos próprios hackers. Ai de mim, todos os endereços IP SSH foram associados aos nós de saída Tor, isso é, não foi possível usá-los para identificar membros do grupo de hack.

Servidor Conti

Os pesquisadores’ relatório também forneceu outras informações valiosas, incluindo informações sobre o sistema operacional do servidor Conti e o arquivo htpasswd, que continha uma versão em hash da senha do servidor. Prodaft enfatiza que compartilhou todas as suas descobertas com as autoridades, e alguns detalhes são mantidos em segredo para dar tempo de aplicação da lei para agir.

A publicação do relatório não passou despercebida não só entre os especialistas em segurança da informação., mas também entre os próprios hackers. A questão é, vazar o endereço IP do servidor e a senha com hash poderia potencialmente abrir o servidor para grupos de hack concorrentes. Como um resultado, dentro de algumas horas após a publicação do relatório, MalwareHunterTeam pesquisadores notaram que Conti fechou seu portal de pagamento. O súbito tempo de inatividade do servidor tornou impossível para as vítimas recentes de Conti contatar os hackers e pagar o resgate cada vez maior.

Como um resultado, Portal de pagamento Conti retornou online mais de 24 horas após o desligamento, e uma mensagem de raiva apareceu no blog do grupo de hack, que diz isso “Os europeus parecem ter decidido esquecer suas maneiras e se comportar como valentões tentando hackear nossos sistemas.”

Os hackers também negaram a afirmação de Prodaft feita Semana Anterior: pesquisadores escreveram que desde julho 2021, o ransomware “ganhou” cerca de $ 25.5 milhão. Os operadores de Conti disseram que realmente fizeram mais do que $ 300,000,000 nos lucros. Contudo, isso é provavelmente apenas se gabar, que os invasores usam para se promover e aumentar a lucratividade de seus ataques.

Interessantemente, alguns especialistas já criticaram a Prodaft por divulgar publicamente informações, o que só levou a Conti a reforçar a segurança de seus servidores.

Deixe-me lembrá-lo de que também escrevemos que Colmeia ransomware infectado Mercado de mídia e seus operadores exigem $ 240 milhão.

Tag
Helga Smithnovembro 24, 2021Última Actualização novembro 24, 2021
74 lido 2 minutos

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo