IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

کشف و افشای ارتباطات گسترده باج‌افزار Conti با Karakurt

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir contis extended connections with karakurt revealed 1
محققان توانستند به سرور حمله‌ای که توسط Conti استفاده می‌شد نفوذ کنند و جزئیات مختلفی را در مورد حملات آن کشف نمایند. علاوه بر این، ارتباط نزدیک بین باج‌افزار Conti/Diavol و گروه اخاذی داده Karakurt کشف شد که نشان می‌دهد این گروه‌ها بخشی از همان عملیات هستند.

کشف زیرساخت حمله
پژوهشگران توانستند با اعتبار کاربری که گفته می‌شود رهبر سازمان جرایم سایبری بود، به سرور داخلی Conti VPS دسترسی پیدا کنند. این امر منجر به افشاگری‌های متعددی در مورد ارتباط آن‌ها با گروه‌های دیگر شد.

محققان به حساب ProtonMail مهاجم نفوذ کرده و اعتبار دسترسی مورد نیاز را کشف کرده بودند که از آن برای ورود به سرور Conti VPS استفاده می‌کردند.

این سرور حاوی بیش از ۲۰ ترابایت داده بود که کونتی قبل از رمزگذاری داده‌ها از قربانیان خود دزدیده بود.

سرور توسط Inferno Solutions میزبانی می‌شود، که ارائه‌دهنده‌ای در روسیه است که از روش‌های پرداخت ناشناس پشتیبانی می‌کند و سفارش‌ها را از طریق اتصالات TOR و V-P-N می‌پذیرد.

تجزیه و تحلیل جزئیات ذخیره‌شده در سرور ذخیره‌سازی نشان داد که Conti داده‌هایی با برچسب زمانی قدیمی‌تر متعلق به قربانیانی دارد که هنوز فاش نشده‌اند، که محققان آن‌ها را به قربانیان بازگرداندند.

ارتباط بین گروه‌ها
علاوه بر این، محققان توانستند عوامل متعددی را شناسایی کنند که نشان‌دهنده ارتباطی با گروه کاراکورت (Karakurt) است.

یک اتصال به IP آدرس 209[.]222[.]98[.]19، جایی که گروه اخاذی Karakurt میزبان سایت خود بود و اطلاعات سرقت شده قربانیان را منتشر کرد که پرداخت باج را مردود می‌کردند، برقرار شده بود.

چندین والت Karakurt رمزارز‌ها را به کیف پول‌هایی ارسال کردند که ظاهراً توسط Conti مدیریت می‌شد. علاوه بر این، آدرس‌های پرداخت قربانی Karakurt که توسط والت‌های Conti میزبانی می‌شوند، به یک ارتباط قوی اشاره می‌کنند.

علاوه بر این، یک قربانی قبلاً برای باز کردن قفل اطلاعات خود به Conti پول داده بوده است. افزون بر این، آن مشتری خاص توسط Karakurt از طریق backdoor متعلق به Cobalt Strike که توسط Conti به جا مانده بود، به خطر افتاده بوده است.
takian.ir contis extended connections with karakurt revealed 2
دیاول: ارتباطی دیگر؟
محققان همچنین دریافتند که اپراتور‌های Karakurt و Diavol برای مدتی زیرساخت مشترکی داشته‌اند.

تجزیه و تحلیل بلاک‌چین، ارتباط دیاول با کاراکورت و کونتی را آشکار کرد.

یکی از آدرس‌های اخاذی که در طول حمله Diavol استفاده شد، نشانی‌هایی را داشت که در حملات باج‌افزار Conti استفاده می‌شد، که نشان می‌دهد این گروه توسط همان مهاجمانی که Conti و Karakurt را اداره می‌کنند، اداره می‌شود.

نکته پایانی
بدیهی است که Karakurt و Diavol زیر گروه یا افزونه‌های Conti برای کسب درآمد از حملات رمزگذاری ناموفق هستند. علاوه بر این، Conti به اندازه کافی بزرگ شده است تا عملیات جرایم سایبری خود را گسترش دهد. بنابراین، گمان می‌رود که Conti ممکن است با توسعه ارتباطات بیشتر و حمایت از گروه‌های دیگر، دامنه فعالیت خود را بیشتر گسترش دهد.

برچسب ها: VPS, کونتی, کاراکورت, Inferno Solutions, Conti VPS, Karakurt, والت, باج‌افزار, Cobalt Strike, Conti, Diavol, Tor, Wallet, cybersecurity, رمزارز, اخاذی, ransomware , VPN, cryptocurrency, BlockChain, بلاک‌چین, backdoor, امنیت سایبری, نفوذ, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل