Conti ransomware blev offer för en dataläcka
Även operatörer av Conti ransomware blev offer för en dataläcka: det schweiziska cybersäkerhetsföretaget Prodaft kunde avgöra den verkliga IP-adressen till en av gruppens servrar och fanns kvar i systemet i mer än en månad.
Den drabbade servern var gruppens betalningsportal (eller sk “återställningsserver”) till vilka hackare bjöd in sina offer för att förhandla fram en lösen. Servern var värd av den ukrainska hotsern ITL LLC och finns på IP-adressen 217.12.204.135.
Forskarna höll åtkomst till servern i flera veckor och övervakade all nätverkstrafik och IP-adresser. Medan några av adresserna tillhörde offren och deras mellanhänder, Prodaft spårade även SSH-anslutningar som med största sannolikhet tillhörde hackarna själva. ack, alla SSH IP-adresser var associerade med Tor-utgångsnoderna, det är, det var inte möjligt att använda dem för att identifiera medlemmar i hackgruppen.
Forskarna’ rapporten gav också annan värdefull information, inklusive information om operativsystemet för Conti-servern och htpasswd-filen, som innehöll en hashad version av serverlösenordet. Prodaft betonar att de har delat alla sina resultat med brottsbekämpande myndigheter, och vissa detaljer hålls hemliga för att ge brottsbekämpande myndigheter tid att vidta åtgärder.
Publiceringen av rapporten gick inte obemärkt förbi, inte bara bland experter på informationssäkerhet, men också bland hackarna själva. Poängen är, läcka serverns IP-adress och hashade lösenord skulle potentiellt öppna servern för konkurrerande hackgrupper. Som ett resultat, inom några timmar efter publiceringen av rapporten, MalwareHunterTeam forskare märkte att Conti hade stängt sin betalningsportal. Det plötsliga serverstoppet gjorde det omöjligt för Contis senaste offer att kontakta hackarna och betala den ständigt ökande lösensumman.
Som ett resultat, Conti betalningsportal returnerade online mer än 24 timmar efter avstängningen, och ett argt meddelande dök upp på hackgruppens blogg, som säger det “Européer verkar ha bestämt sig för att glömma sitt uppförande och betedde sig som mobbare som försökte hacka våra system.”
Hackarna förnekade också Prodafts påstående förra veckan: forskare skrev det sedan juli 2021, ransomware “tjänade” handla om $ 25.5 miljon. Contis operatörer sa att de faktiskt tjänade mer än $ 300,000,000 i vinster. dock, det här är troligen bara skryt, som angripare använder för att marknadsföra sig själva och öka lönsamheten för sina attacker.
Låt mig påminna dig om att vi också skrev det Bikupa ransomware infekterad Mediemarknad och dess operatörer kräver $ 240 miljon.