Uno de los grupos prominentes de ciberdelincuencia: el ransomware Conti, tuvo los detalles de su servidor expuestos por una empresa de seguridad. Pronto publicaron un informe sobre sus hallazgos y entregaron los detalles a las fuerzas del orden para emprender acciones legales.
Los detalles filtrados incluyen la dirección IP del servidor y su contraseña cifrada. Esto llevó al ransomware Conti a desconectar el servidor durante más de un día y regresar con un aviso explicando la situación.
Filtrar la identidad de un ransomware
Prodaftuna empresa de seguridad suiza ha publicado un informe largo detallando sus hallazgos con respecto al grupo de ransomware Conti. Los investigadores de la empresa aprovecharon un error en uno de los servidores del ransomware Conti para filtrar detalles sobre su identidad.
Lea también: las mejores herramientas gratuitas contra ransomware
El servidor vulnerable alojaba el portal de pago de la pandilla, a través del cual Conti les pide a sus víctimas que se acerquen a las negociaciones de rescate y las claves de descifrado. Prodaft identificó que el servidor llevaba la dirección IP de 217.12.204.135alojado por ITL LLC, una empresa de alojamiento web de Ucrania.
Aparte de la dirección IP, los investigadores han monitoreado el tráfico del servidor, manteniendo el acceso a él durante semanas. Si bien algunos fueron identificados como víctimas, algunas conexiones SSH mostraban a miembros de Conti accediendo al servidor en ocasiones.
Pero dado que las conexiones SSH pertenecían solo a los nodos de salida de Tor, los investigadores no pudieron encontrar las identidades reales de los miembros de Conti. Sin embargo, obtuvieron la contraseña codificada de este servidor y el sistema operativo que se ejecutaba en él.
#Conti #Secuestro de datos pic.twitter.com/cWfGfRHd2b
— @ddd1ms 19 de noviembre de 2021
Todos estos hallazgos fueron publicados por Prodaft, a la que pronto fueron criticados por la comunidad por dejar públicos tales detalles. Conti ransomware pronto se dio cuenta de esto y desconectó su servidor. Y después de 24 horas, volvieron a funcionar y publicaron una nota explicando la infracción.
Si bien aseguraron a sus afiliados que no se preocuparan, Prodaft, por otro lado, compartió esta información con las fuerzas del orden público para emprender más acciones legales.
