Исследователи безопасности опубликовали в открытом доступе данные сервера, где Conti ведет переговоры с жертвами.
Кибервымогательская группировка Conti стала жертвой утечки данных после того, как исследователям безопасности удалось установить реальный IP-адрес одного из ее самых важных серверов и более месяца сохранять консольный доступ к системе.
Взломанный сервер (так называемый платежный портал или сайт восстановления) представляет собой место, где Conti обсуждает со своими жертвами вопрос уплаты выкупа.
«Наша команда обнаружила уязвимость в используемых Conti серверах восстановления и использовала ее для определения реальных IP-адресов скрытого сервиса, размещенного на сайте восстановления», - сообщается в 37-страничном отчете швейцарской ИБ-компании Prodaft.
Речь идет об IP-адресе 217.12.204.135, принадлежащем украинской хостинговой компании ITL LLC. В течение месяца специалисты Prodaft имели доступ к этому серверу, что дало им возможность осуществлять мониторинг сетевого трафика.
Хотя большинство подключений к серверу относятся к жертвам Conti, специалисты также фиксировали SSH-соединения, судя по всему, относящиеся к самой Conti. Однако здесь удача была не на стороне исследователей, так как SSH IP-адреса принадлежали выходным узлам Tor. Другими словами, с их помощью нельзя было идентифицировать операторов Conti.
Другая представленная в отчете ценная информация также включает сведения об ОС сервера Conti и его файле htpasswd, содержащем хешированный пароль для доступа к серверу.
После публикации отчет сразу же привлек внимание группировки. В особенности ее обеспокоила публикация IP-адреса сервера и хеша пароля для доступа к нему, поскольку этими сведениями могли воспользоваться конкурирующие с Conti вымогательские группировки. В итоге ей пришлось отключить свой платежный портал, чтобы найти новый хостинг, из-за чего жертвы по всему миру не могли связаться с вымогателями и были вынуждены страдать от продолжительного простоя.
Исследователи передали все свои находки правоохранительным органам. Однако публикация их в открытом доступе – дело редкое. Как правило, такие подробности не предаются огласке, чтобы у правоохранительных органов было время принять соответствующие меры, на что иногда уходят многие месяцы. Действия исследователей также раскритиковали другие ИБ-эксперты, ведь они привели к тому, что Conti усилила свою безопасность.
source: prodaft.com/resource/detail/conti-ransomware-group-depth-analysis
Кибервымогательская группировка Conti стала жертвой утечки данных после того, как исследователям безопасности удалось установить реальный IP-адрес одного из ее самых важных серверов и более месяца сохранять консольный доступ к системе.
Взломанный сервер (так называемый платежный портал или сайт восстановления) представляет собой место, где Conti обсуждает со своими жертвами вопрос уплаты выкупа.
«Наша команда обнаружила уязвимость в используемых Conti серверах восстановления и использовала ее для определения реальных IP-адресов скрытого сервиса, размещенного на сайте восстановления», - сообщается в 37-страничном отчете швейцарской ИБ-компании Prodaft.
Речь идет об IP-адресе 217.12.204.135, принадлежащем украинской хостинговой компании ITL LLC. В течение месяца специалисты Prodaft имели доступ к этому серверу, что дало им возможность осуществлять мониторинг сетевого трафика.
Хотя большинство подключений к серверу относятся к жертвам Conti, специалисты также фиксировали SSH-соединения, судя по всему, относящиеся к самой Conti. Однако здесь удача была не на стороне исследователей, так как SSH IP-адреса принадлежали выходным узлам Tor. Другими словами, с их помощью нельзя было идентифицировать операторов Conti.
Другая представленная в отчете ценная информация также включает сведения об ОС сервера Conti и его файле htpasswd, содержащем хешированный пароль для доступа к серверу.
После публикации отчет сразу же привлек внимание группировки. В особенности ее обеспокоила публикация IP-адреса сервера и хеша пароля для доступа к нему, поскольку этими сведениями могли воспользоваться конкурирующие с Conti вымогательские группировки. В итоге ей пришлось отключить свой платежный портал, чтобы найти новый хостинг, из-за чего жертвы по всему миру не могли связаться с вымогателями и были вынуждены страдать от продолжительного простоя.
Исследователи передали все свои находки правоохранительным органам. Однако публикация их в открытом доступе – дело редкое. Как правило, такие подробности не предаются огласке, чтобы у правоохранительных органов было время принять соответствующие меры, на что иногда уходят многие месяцы. Действия исследователей также раскритиковали другие ИБ-эксперты, ведь они привели к тому, что Conti усилила свою безопасность.
source: prodaft.com/resource/detail/conti-ransomware-group-depth-analysis
