Siber suçlar tarafından yönetilen sunucuların ihlal edilmesinden sonra, güvenlik araştırmacıları, iki çetenin aynı işlemin bir parçası olduğunu gösteren Conti Ransomware ile yakın zamanda ortaya çıkan Karakurt veri gazı grubu arasında bir bağlantı buldu.
Conti Ransomware Syndicate, bugün iç konuşmaların büyük sızıntısına ve Rus kuruluşlarını engellemek için kullanılan bir hack grubunun kullandığı kaynak kodu olmasına rağmen, günümüzdeki en üretken siberriminal gruplardan biridir.
Karakurt, en az 2021'den bu yana, şirketlerden veri çalmaya ve bilgileri yayınlamayı tehdit ederek onları bir fidye ödemeye zorlayan bir çetedir.
40'tan fazla kuruluş, Eylül ve Kasım 2021 arasında yaklaşık iki ay içinde Karakurt'a kurban düştü.
İki grup arasındaki bağlantı, güvenlik araştırmacıları, bir kullanıcının kimlik bilgileriyle birlikte, tüm sendikanın lideri olduğuna inandıkları bir kullanıcı için bir dahili conti VPS sunucusuna erişebildi.
Araştırmacılar tehdit aktörünün Protonmail hesabını ihlal ettikten sonra sunucuya giriş yapmak mümkündü ve gerekli erişim kimlik bilgilerini buldu.
Araştırmacılar VPS sunucusuna eriştiğinde, saldırının şifreleme aşamasını dağıtmadan önce kurbanlarından çalınan 20'ten fazla veri depoladı.
Infinitum Türkiye merkezli güvenlik danışmanlık şirketi Infinitum'daki güvenlik araştırmacıları, VPS sunucusunun, anonim ödeme yöntemlerini destekleyen ve VPN ve Tor bağlantıları üzerinden siparişleri kabul eden Rusya'daki bir sağlayıcı olan Inferno Solutions tarafından barındırıldığını söylüyor.
Aynı zamanda, Inferno çözeltileri "spam gönderenler, dolandırıcılara veya siber suçlamalar", her zaman müşteri ile yansıtılmadıklarını ve "şüpheli ve yasadışı şikayetler (kötüye kullanımı) durumunda" müşterileri rahatsız etmediklerini "iddia ediyorlar.
Son bir raporda, Infinitum, 27 Şubat'ta, bir Conti Üyesi tarafından kullanılan birden fazla protonmail ve mega depolama hesaplarına giriş yaptıktan sonra, 27 Şubat'ta, Conti Sızıntıları başladığında, Conti'nin altyapısına erişim kazanabileceklerini ayrıntılarını verir.
"27 Şubat 2022'de conti sızıntısının başlangıcında, Conti Ransomware grubunun kilit üyelerinden biri tarafından kullanılan çoklu protonmail ve mega yükleme hesaplarının içine girebiliyoruz" - Infinitum
E-posta hesaplarında bir kez araştırmacılar, VPS sunucusunun yönetim paneline uzaktan erişim kazanmalarını sağlayan Inferno Solutions Hosting Sağlayıcısından gelen e-postaları gözlemledi.
Depolama sunucusu hakkındaki bilgilerin analizi, conti'nin kamuya açıklanmayan mağdurlara ait eski bir zaman damgası ile verileri olduğunu ortaya koydu. Infinitum, çalınan verileri iade etmek için kurbanlarla temasa geçti.
Araştırmacılar, ihlal edildikleri hesapların, çalınan verileri yüklemek ve indirmek için birden fazla sunucuya bağlanmak için Filezilla FTP istemcisini kullanmak olduğunu fark eder.
Bir bağlantı, IP adresine 209 [.] 222 [.] 98 [.] 222 [.] 98 [.] 19, bu, Karakurt Güçlendirme Grubunun, ödeme yapmayan mağdurlardan çalınan verileri yayınladıkları yerlerini barındırdığı yer.
BleepingComputer, Aylar önce, Gelişmiş zekanın Vitali Kremez, Karakurt'un başarısız şifreleme saldırılarından para kazanmak için conti sendikasının bir yan ticareti olduğunu öğrendi.
Conti'nin fidye yazılımı yükü bloke edildiğinde ve saldırı şifreleme aşamasına girmediğinde, bilgisayar korsanları zaten exfiltrated bilgileri veri gazı için KARAKURT olarak serbest bırakır.
Bu, bugün, Siber Güvenlik Şirketi Arctic Wolf'tan, daha önce verilerinin kilidini açmak için bir müşterinin bir soruşturması sırasında, söz konusu müşterinin daha sonra Karakurt tarafından daha sonra Kobalt grevi aracılığının geride kaldığı bir kobalt vuruşu aracılığıyla ihlal edildiğini testede bulundu. .
Arctic Wolf'tan yapılan araştırmalar, bilgisayar güvenliği hizmeti Tetra Savunması, Siber Güvenlik Şirketi Northwave ve Blockchain analizi firması arasındaki işbirliğidir.
Chainalysis'in soruşturması, conti tarafından kontrol edilen cüzdanlara Cryptocurrency'i gönderen birkaç Karakurt cüzdanını ortaya koydu. Araştırmacılara göre, mağdurlardan yapılan ödemeler 45.000 dolar arasındadır.
Blockchain Analiz Şirketi ayrıca, her iki çetenin de aynı parti tarafından yönetildiğini belirten bir Conti Cüzdanı tarafından barındırılan Karakurt mağduru ödeme adreslerini buldu.
Conti Admin, FTP istemcisi'ndeki şifreleri kaydetmediyken, Infinitum BT araştırmacıları, Karakurt Komutanlığı ve Kontrol (C2) sunucusu için SSH kimlik bilgilerini FileZilla'da açılmamış bir güvenlik açığı sökerek elde edebildiklerini söylüyor.
Araştırmacılar ayrıca bu şekilde, KARAKURT çetesinin web sunucusuna bağlanmasına izin veren bir SSH özel anahtarı, ayrıca Tor Ağı üzerinde de servis edilir.
Infinitum'a göre, bu analiz, Karakurt çetesinin üyeleri, çalınan verileri bir "/ iş" klasörüne yükledi ve bunu halka açık ve halka açık olarak kategorilere ayırıyorlar, ilgileri ağırlıklı olarak finansal bilgilerde.
Kalakurt çetesinin altyapısını tamamen tehlikeye attığında, C2 sunucusuna ve saldırılarda kullanılan araçlara da erişebildiler.
Aşağıda, Karakurt'un saldırılarda kullandığı ve açıklamalarının bir numaralandırılmasıdır:
Infinitum Raporu, Conti Ransomware'in ve Karakurt veri gazı çetesinin aynı finansal olarak motive edici grubun bir parçası olduğunu gösteren ilk kamu kanıtıdır.
Conti, rezil Trickbot Botnet'i devraldıktan ve Bazarbackdoor ve Anchorworworwarworworwor yazılımının geliştirilmesine odaklanmak için kapattıktan sonra, araştırmacılar, sendikanın genişlemesinin daha agresif olduğunu göstermektedir.
Conti şimdi fidye yazılımı işlemlerini sürdüren ya da zaten mevcut ilk ağ erişimini para kazandıran tarafı yönetiyor.
GÜNCELLEME [15 Mart 11:54 EST]: KARAKURT ve CONTI'nin aynı operasyonun bir parçası olduğunu doğrulayan Siber Güvenlik Şirketi Arctic Wolf'tan bilgi ile güncellendi.
Ransomware'deki hafta - 15 Nisan 2022 - Rusya'yı şifreleme
Rüzgar Türbini Firması Nordex Conti Ransomware Saldırısı ile Vurdu
Hackerlar, Rus şirketlerine saldırmak için Conti'nin sızdırılmış fidye yazılımını kullanıyor
Snap-on, conti ransomware çetesi tarafından talep edilen veri ihlalini açıklar.
Ransomware'deki hafta - 1 Nisan 2022 - 'Bir klavye ile savaşabilirim'
Kaynak: Bleeping Computer