Операторы шифровальщика Conti стали жертвой утечки данных

Операторы вымогателя Conti пострадали от утечки данных: швейцарская ИБ-компания Prodaft смогла определить реальный IP-адрес одного из серверов группы и оставалась в системе более месяца.

Пострадавший сервер являлся платежным порталом (или так называемым «сервером восстановления») группы, на который хакеры приглашали своих жертв для проведения переговоров о выплате выкупа. Сервер хостился у украинского хотсера ITL LLC и размещался на IP-адресе 217.12.204.135.

«Наша команда обнаружила уязвимость в серверах восстановления, которые использует Conti, и использовала эту уязвимость для обнаружения реальных IP-адресов hidden service, где был размещен сайт», — гласит отчет Prodaft.

Исследователи сохраняли доступ к серверу в течение нескольких недель и отслеживали весь сетевой трафик и IP-адреса. Хотя некоторые из адресов принадлежали жертвам и их посредникам, Prodaft также отследила SSH-соединения, которые, скорее всего, относились к самим хакерам. Увы, все IP-адреса SSH были связаны с выходным узлам Tor, то есть использовать их для идентификации участников хак-группы не представлялось возможным.

Также в отчете исследователей представлена другая ценная информация, включая сведения об ОС сервера Conti и файле htpasswd, который содержал хешированную версию пароля сервера. Компания Prodaft подчеркивает, что поделилась всеми своими выводами с правоохранительными органами, и некоторые детали хранятся в тайне, чтобы дать правоохранителям время на принятие мер.

Публикация отчета не прошла незамеченной не только среди ИБ-экспертов, но и среди самих хакеров. Дело в том, что утечка IP-адреса и хешированного пароля сервера потенциально открывали сервер для конкурирующих хак-групп. В итоге уже через несколько часов после публикации отчета исследователи MalwareHunterTeam заметили, что Conti отключила свой платежный портал. Внезапный простой сервера лишил недавних жертв Conti возможности связаться с хакерами и заплатить выкуп, размер которого все увеличивался.

В итоге платежный портал Conti вернулся в онлайн спустя более 24 часов после отключения, а в блоге хак-группы появилось гневное сообщение, которое гласит, что «европейцы, похоже, решили забыть о своих манерах и повели себя как гопники, пытаясь взломать наши системы».

Также хакеры опровергли утверждение Prodaft, сделанное на прошлой неделе: исследователи писали, что с июля 2021 года вымогатели «заработали» около 25,5 миллиона долларов. Операторы Conti заявили, что на самом деле их прибыль составила более 300 000 000 долларов. Впрочем, скорее всего, это лишь хвастовство, которое вымогатели используют для саморекламы и повышения прибыльности своих атак.

Интересно, что некоторые эксперты уже раскритиковали Prodaft за публичное раскрытие информации, которое привело лишь к тому, что Conti усилила безопасность своих серверов.