Гражданин России может быть создателем и администратором крупнейшей в мире службы шифрования вредоносного ПО Cryptor[.]biz. К такому выводу пришел известный американский ИБ-журналист Брайан Кребс (Brian Krebs), опубликовавшийрезультаты своего расследования.
«Как бы ни был хорош Cryptor[.]biz, его владелец, похоже, не проделал большой работы по заметанию собственных следов. Регистрационные записи для сайта скрыты службами защиты конфиденциальности, но на домашней странице ресурса говорится, что потенциальные клиенты должны зарегистрироваться, посетив домен crypt[.]guru или отправив мгновенное сообщение в Jabber на адрес masscrypt@exploit.im, — пишет Кребс.
Записи о Crypt[.]guru также скрыты, но DNS-следы указывают, что для обоих ресурсах настроена переадресация входящей почты на obelisk57@gmail.com. По данным киберразведывательной компании Intel 471, эта почта использовалась для регистрации учетной записи на форуме Blacksoftware с ником Kerens. А masscrypt@exploit.im, в свою очередь, с 2011 года и по настоящее время привязан к пользователю Kerens на форуме Exploit. Что любопытно, его первый пост на площадке был посвящен криптографическому сервису VIP Crypt, который был предшественником Cryptor[.]biz и который в обзоре Kerens назван «дерьмовым».
В Intel 471 также обнаружили, что Kerens использовал адрес электронной почты pepyak@gmail.com, на который, среди прочего, были зарегистрированы учетные записи на Verified и Damagelab. Неоднократно сливавшиеся с Verified данные свидетельствуют о том, что аккаунт Kerens был зарегистрирован в марте 2009 года с IP-адреса в Новосибирске. При этом ник Pepyak также мелькал на различных площадках, в частности, на GoFuckBiz[.]com, где в 2010 году автор признался, что в теплые месяцы живет в Сибири, а на зиму предпочитает уезжать в Таиланд.
Сайт DomainTools.com сообщает, что адрес электронной почты pepyak@gmail.com использовался для регистрации 28 доменных имен за прошедшие годы, в том числе ныне несуществующего российского сайта по продаже автомобилей под названием autodoska[.]biz. Этот портал был оформлен в 2008 году на Юрия Чурнова из Севастополя. Но спустя два года его перерегистрировали на Сергея Пуртова из Юрги, города в Кемеровской области.
Многие из 28 доменов, зарегистрированных на pepyak@gmail.com, имеют в регистрационных записях еще один адрес электронной почты: unforgiven57@mail.ru. Согласно DomainTools, адрес он использовался для регистрации примерно дюжины доменов, в том числе трех, которые изначально были зарегистрированы на адрес электронной почты Kerens — pepyak@gmail.com. Одним из доменов, зарегистрированных в 2006 году на адрес unforgiven57@mail.ru, был thelib[.]ru, много лет служивший местом для скачивания пиратских электронных книг. По данным DomainTools, thelib[.]ru изначально был зарегистрирован на Сергея Пуртова.
Большинство из двух десятков доменов, зарегистрированных на pepyak@gmail.com, в какой-то момент делили сервер с небольшим количеством других доменов, включая mobile-soft[.]su, который был зарегистрирован на адрес электронной почты spurtov@gmail.com.
Constella Intelligence указывает со ссылкой на слитую базу данных СДЭК, что адрес spurtov@gmail.com был закреплен за человеком по имени Сергей Юрьевич Пуртов. Ему также принадлежит номер телефона +79235059268, на который зарегистрирован аккаунт в Skype с ником Pepyak. Помимо этого, парольные связки из различных баз привели Кребса к пользователю Kolumb с форума Antichat. Там он интересовался покупкой доступа к скомпрометированным компьютерам внутри России, а также искал надежную криптографическую службу или штатного шифровальщика.
source: krebsonsecurity[.]com/2023/06/why-malware-crypting-services-deserve-more-scrutiny
«Как бы ни был хорош Cryptor[.]biz, его владелец, похоже, не проделал большой работы по заметанию собственных следов. Регистрационные записи для сайта скрыты службами защиты конфиденциальности, но на домашней странице ресурса говорится, что потенциальные клиенты должны зарегистрироваться, посетив домен crypt[.]guru или отправив мгновенное сообщение в Jabber на адрес masscrypt@exploit.im, — пишет Кребс.
Записи о Crypt[.]guru также скрыты, но DNS-следы указывают, что для обоих ресурсах настроена переадресация входящей почты на obelisk57@gmail.com. По данным киберразведывательной компании Intel 471, эта почта использовалась для регистрации учетной записи на форуме Blacksoftware с ником Kerens. А masscrypt@exploit.im, в свою очередь, с 2011 года и по настоящее время привязан к пользователю Kerens на форуме Exploit. Что любопытно, его первый пост на площадке был посвящен криптографическому сервису VIP Crypt, который был предшественником Cryptor[.]biz и который в обзоре Kerens назван «дерьмовым».
В Intel 471 также обнаружили, что Kerens использовал адрес электронной почты pepyak@gmail.com, на который, среди прочего, были зарегистрированы учетные записи на Verified и Damagelab. Неоднократно сливавшиеся с Verified данные свидетельствуют о том, что аккаунт Kerens был зарегистрирован в марте 2009 года с IP-адреса в Новосибирске. При этом ник Pepyak также мелькал на различных площадках, в частности, на GoFuckBiz[.]com, где в 2010 году автор признался, что в теплые месяцы живет в Сибири, а на зиму предпочитает уезжать в Таиланд.
Сайт DomainTools.com сообщает, что адрес электронной почты pepyak@gmail.com использовался для регистрации 28 доменных имен за прошедшие годы, в том числе ныне несуществующего российского сайта по продаже автомобилей под названием autodoska[.]biz. Этот портал был оформлен в 2008 году на Юрия Чурнова из Севастополя. Но спустя два года его перерегистрировали на Сергея Пуртова из Юрги, города в Кемеровской области.
Многие из 28 доменов, зарегистрированных на pepyak@gmail.com, имеют в регистрационных записях еще один адрес электронной почты: unforgiven57@mail.ru. Согласно DomainTools, адрес он использовался для регистрации примерно дюжины доменов, в том числе трех, которые изначально были зарегистрированы на адрес электронной почты Kerens — pepyak@gmail.com. Одним из доменов, зарегистрированных в 2006 году на адрес unforgiven57@mail.ru, был thelib[.]ru, много лет служивший местом для скачивания пиратских электронных книг. По данным DomainTools, thelib[.]ru изначально был зарегистрирован на Сергея Пуртова.
Большинство из двух десятков доменов, зарегистрированных на pepyak@gmail.com, в какой-то момент делили сервер с небольшим количеством других доменов, включая mobile-soft[.]su, который был зарегистрирован на адрес электронной почты spurtov@gmail.com.
Constella Intelligence указывает со ссылкой на слитую базу данных СДЭК, что адрес spurtov@gmail.com был закреплен за человеком по имени Сергей Юрьевич Пуртов. Ему также принадлежит номер телефона +79235059268, на который зарегистрирован аккаунт в Skype с ником Pepyak. Помимо этого, парольные связки из различных баз привели Кребса к пользователю Kolumb с форума Antichat. Там он интересовался покупкой доступа к скомпрометированным компьютерам внутри России, а также искал надежную криптографическую службу или штатного шифровальщика.
source: krebsonsecurity[.]com/2023/06/why-malware-crypting-services-deserve-more-scrutiny
извините
