Conti ransomware blev offer för en dataläcka

Helga Smithnovember 24, 2021Senast uppdaterad: november 24, 2021
73 2 minuter läst

Även operatörer av Conti ransomware blev offer för en dataläcka: det schweiziska cybersäkerhetsföretaget Prodaft kunde avgöra den verkliga IP-adressen till en av gruppens servrar och fanns kvar i systemet i mer än en månad.

Den drabbade servern var gruppens betalningsportal (eller sk “återställningsserver”) till vilka hackare bjöd in sina offer för att förhandla fram en lösen. Servern var värd av den ukrainska hotsern ITL LLC och finns på IP-adressen 217.12.204.135.

Vårt team upptäckte en sårbarhet i återställningsservrarna som Conti använder och utnyttjar sårbarheten för att upptäcka de riktiga IP-adresserna för den dolda tjänsten där webbplatsen var värd.säger Prodaft Rapportera.

Forskarna höll åtkomst till servern i flera veckor och övervakade all nätverkstrafik och IP-adresser. Medan några av adresserna tillhörde offren och deras mellanhänder, Prodaft spårade även SSH-anslutningar som med största sannolikhet tillhörde hackarna själva. ack, alla SSH IP-adresser var associerade med Tor-utgångsnoderna, det är, det var inte möjligt att använda dem för att identifiera medlemmar i hackgruppen.

Conti Server

Forskarna’ rapporten gav också annan värdefull information, inklusive information om operativsystemet för Conti-servern och htpasswd-filen, som innehöll en hashad version av serverlösenordet. Prodaft betonar att de har delat alla sina resultat med brottsbekämpande myndigheter, och vissa detaljer hålls hemliga för att ge brottsbekämpande myndigheter tid att vidta åtgärder.

Publiceringen av rapporten gick inte obemärkt förbi, inte bara bland experter på informationssäkerhet, men också bland hackarna själva. Poängen är, läcka serverns IP-adress och hashade lösenord skulle potentiellt öppna servern för konkurrerande hackgrupper. Som ett resultat, inom några timmar efter publiceringen av rapporten, MalwareHunterTeam forskare märkte att Conti hade stängt sin betalningsportal. Det plötsliga serverstoppet gjorde det omöjligt för Contis senaste offer att kontakta hackarna och betala den ständigt ökande lösensumman.

Som ett resultat, Conti betalningsportal returnerade online mer än 24 timmar efter avstängningen, och ett argt meddelande dök upp på hackgruppens blogg, som säger det “Européer verkar ha bestämt sig för att glömma sitt uppförande och betedde sig som mobbare som försökte hacka våra system.”

Hackarna förnekade också Prodafts påstående förra veckan: forskare skrev det sedan juli 2021, ransomware “tjänade” handla om $ 25.5 miljon. Contis operatörer sa att de faktiskt tjänade mer än $ 300,000,000 i vinster. dock, det här är troligen bara skryt, som angripare använder för att marknadsföra sig själva och öka lönsamheten för sina attacker.

Intressant, Vissa experter har redan kritiserat Prodaft för att offentliggöra information, vilket bara ledde till att Conti skärpte säkerheten på sina servrar.

Låt mig påminna dig om att vi också skrev det Bikupa ransomware infekterad Mediemarknad och dess operatörer kräver $ 240 miljon.

Taggar
Helga Smithnovember 24, 2021Senast uppdaterad: november 24, 2021
73 2 minuter läst

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen