После чего выйти на след преступника смогли исследователи из израильской компании Hudson Rock, которые по итогу раскрыли его настоящую личность.
Известный в шаркнете как La_Citrix брокер начального доступа активен с 2020 года и занимается взломом организаций, компрометируя серверы Citrix, VPN и RDP, продает к ним доступ, а также сливает логи инфостилеров.
Но один раз что-то пошло не так и хакер умудрился продать на сторону доступ к своему же ПК, не подозревая, что в числе прочих целей заразил и свою машину.
Идентифицировать La_Citrix получилось, изучая других хакеров, которые были заражены инфостиллерами и имели доступ к известным даркнет-площадкам. В частности, на exploit.in он и был замечен.
Hudson Rock не упустили возможность и внимательно исследовали комп La_Citrix, который использовался для совершения вторжений в сотни компаний.
На компьютере хранились учетные данные сотрудников почти 300 организаций, а в браузере - корпоративные учетные данные, используемые для взлома.
Как выяснили ресерчеры, La_Citrix в своей работе полагался на стиллеры, с помощью которых нацеливался на корпоративные учетные данные, которые затем использовались для вторжения в сети жертв. Причем использовал во всех атаках лишь свой ПК.
Дальнейший анализ компьютера злоумышленника также помог фирме, занимающейся кибербезопасностью, установить его настоящую личность и местонахождение, а также собрать обширную доказательную базу.
Исследователи Hudson Rock заявили, что обладают сведениями в отношении тысячи хакеров, допустивших аналогичные ошибки, и намерены направить обнаруженные доказательства в соответствующие правоохранительные органы.
Более того, они ожидают, что число случаев заражений похитителями будет только расти, причем в геометрической прогрессии.
source: hudsonrock.com/blog/prominent-threat-actor-accidentally-infects-own-computer-with-info-stealer
Известный в шаркнете как La_Citrix брокер начального доступа активен с 2020 года и занимается взломом организаций, компрометируя серверы Citrix, VPN и RDP, продает к ним доступ, а также сливает логи инфостилеров.
Но один раз что-то пошло не так и хакер умудрился продать на сторону доступ к своему же ПК, не подозревая, что в числе прочих целей заразил и свою машину.
Идентифицировать La_Citrix получилось, изучая других хакеров, которые были заражены инфостиллерами и имели доступ к известным даркнет-площадкам. В частности, на exploit.in он и был замечен.
Hudson Rock не упустили возможность и внимательно исследовали комп La_Citrix, который использовался для совершения вторжений в сотни компаний.
На компьютере хранились учетные данные сотрудников почти 300 организаций, а в браузере - корпоративные учетные данные, используемые для взлома.
Как выяснили ресерчеры, La_Citrix в своей работе полагался на стиллеры, с помощью которых нацеливался на корпоративные учетные данные, которые затем использовались для вторжения в сети жертв. Причем использовал во всех атаках лишь свой ПК.
Дальнейший анализ компьютера злоумышленника также помог фирме, занимающейся кибербезопасностью, установить его настоящую личность и местонахождение, а также собрать обширную доказательную базу.
Исследователи Hudson Rock заявили, что обладают сведениями в отношении тысячи хакеров, допустивших аналогичные ошибки, и намерены направить обнаруженные доказательства в соответствующие правоохранительные органы.
Более того, они ожидают, что число случаев заражений похитителями будет только расти, причем в геометрической прогрессии.
source: hudsonrock.com/blog/prominent-threat-actor-accidentally-infects-own-computer-with-info-stealer
