Операторы вымогателя Conti пострадали от утечки данных: швейцарская ИБ-компания Prodaft смогла определить реальный IP-адрес одного из серверов группы и оставалась в системе более месяца.
Пострадавший сервер являлся платежным порталом (или так называемым «сервером восстановления») группы, на который хакеры приглашали своих жертв для проведения переговоров о выплате выкупа. Сервер хостился у украинского хотсера ITL LLC и размещался на IP-адресе 217.12.204.135.
Исследователи сохраняли доступ к серверу в течение нескольких недель и отслеживали весь сетевой трафик и IP-адреса. Хотя некоторые из адресов принадлежали жертвам и их посредникам, Prodaft также отследила SSH-соединения, которые, скорее всего, относились к самим хакерам. Увы, все IP-адреса SSH были связаны с выходным узлам Tor, то есть использовать их для идентификации участников хак-группы не представлялось возможным.«Наша команда обнаружила уязвимость в серверах восстановления, которые использует Conti, и использовала эту уязвимость для обнаружения реальных IP-адресов hidden service, где был размещен сайт», — гласит отчет Prodaft.
Публикация отчета не прошла незамеченной не только среди ИБ-экспертов, но и среди самих хакеров. Дело в том, что утечка IP-адреса и хешированного пароля сервера потенциально открывали сервер для конкурирующих хак-групп. В итоге уже через несколько часов после публикации отчета исследователи MalwareHunterTeam заметили, что Conti отключила свой платежный портал. Внезапный простой сервера лишил недавних жертв Conti возможности связаться с хакерами и заплатить выкуп, размер которого все увеличивался.
В итоге платежный портал Conti вернулся в онлайн спустя более 24 часов после отключения, а в блоге хак-группы появилось гневное сообщение, которое гласит, что «европейцы, похоже, решили забыть о своих манерах и повели себя как гопники, пытаясь взломать наши системы».
Также хакеры опровергли утверждение Prodaft, сделанное на прошлой неделе: исследователи писали, что с июля 2021 года вымогатели «заработали» около 25,5 миллиона долларов. Операторы Conti заявили, что на самом деле их прибыль составила более 300 000 000 долларов. Впрочем, скорее всего, это лишь хвастовство, которое вымогатели используют для саморекламы и повышения прибыльности своих атак.
Интересно, что некоторые эксперты уже раскритиковали Prodaft за публичное раскрытие информации, которое привело лишь к тому, что Conti усилила безопасность своих серверов.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
