Servidor de pago de Conti Ransomware violado, dirección IP filtrada

Uno de los principales grupos de delitos informáticos: Conti ransomware, una empresa de seguridad expuso los detalles de su servidor. Pronto publicaron un informe sobre sus hallazgos y entregaron detalles a las fuerzas del orden para emprender acciones legales.

Los detalles filtrados incluyen la dirección IP del servidor y su contraseña hash. Esto llevó a Conti ransomware a desconectar el servidor durante más de un día y volver con un aviso explicando la situación.

Índice de contenidos

    Filtrar la identidad de un ransomware

    Prodaft, una empresa de seguridad suiza ha publicado un informe largo detallando sus hallazgos sobre el grupo de ransomware Conti. Los investigadores de la empresa han aprovechado un error en uno de los servidores del ransomware Conti para filtrar detalles sobre su identidad.

    Leer también: las mejores herramientas gratuitas anti-ransomware

    El servidor vulnerable alojaba el portal de pago de la pandilla, a través del cual Conti pide a sus víctimas que se acerquen a las negociaciones de rescate y las claves de descifrado. Prodaft identificó que el servidor tenía la dirección IP de 217.12.204.135, alojado por ITL LLC, una empresa de alojamiento web de Ucrania.

    Aparte de la dirección IP, los investigadores han monitoreado el tráfico del servidor, ¡manteniendo el acceso a él durante semanas! Si bien algunos fueron identificados como víctimas, algunas conexiones SSH mostraban a miembros de Conti accediendo al servidor en ocasiones.

    Pero dado que las conexiones SSH pertenecían solo a los nodos de salida de Tor, los investigadores no pudieron encontrar las identidades reales de los miembros de Conti. Sin embargo, han obtenido la contraseña hash de este servidor y el sistema operativo que se estaba ejecutando en él.

    Todos estos hallazgos fueron publicados por Prodaft, a lo que pronto fueron criticados por la comunidad por hacer públicos tales detalles. Conti ransomware pronto se dio cuenta de esto y desconectó su servidor. Y después de 24 horas, regresaron y publicaron una nota explicando la violación.

    Si bien les aseguraron a sus afiliados que no se preocuparan, Prodaft, por otro lado, compartió esta información con las fuerzas del orden para emprender acciones legales adicionales.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir