کشف و افشای ارتباطات گسترده باج‌افزار Conti با Karakurt!

محققان توانستند به سرور حمله‌ای که توسط Conti استفاده می‌شد نفوذ کنند و جزئیات مختلفی را در مورد حملات آن کشف نمایند. علاوه بر این، ارتباط نزدیک بین باج‌افزار Conti/Diavol و گروه اخاذی داده Karakurt کشف شد که نشان می‌دهد این گروه‌ها بخشی از همان عملیات هستند.

کشف زیرساخت حمله

پژوهشگران توانستند با اعتبار کاربری که گفته می‌شود رهبر سازمان جرایم سایبری بود، به سرور داخلی Conti VPS دسترسی پیدا کنند. این امر منجر به افشاگری‌های متعددی در مورد ارتباط آن‌ها با گروه‌های دیگر شد.

محققان به حساب ProtonMail مهاجم نفوذ کرده و اعتبار دسترسی مورد نیاز را کشف کرده بودند که از آن برای ورود به سرور Conti VPS استفاده می‌کردند.

این سرور حاوی بیش از ۲۰ ترابایت داده بود که کونتی قبل از رمزگذاری داده‌ها از قربانیان خود دزدیده بود.

سرور توسط Inferno Solutions میزبانی می‌شود، که ارائه‌دهنده‌ای در روسیه است که از روش‌های پرداخت ناشناس پشتیبانی می‌کند و سفارش‌ها را از طریق اتصالات TOR و V-P-N می‌پذیرد.

تجزیه و تحلیل جزئیات ذخیره‌شده در سرور ذخیره‌سازی نشان داد که Conti داده‌هایی با برچسب زمانی قدیمی‌تر متعلق به قربانیانی دارد که هنوز فاش نشده‌اند، که محققان آن‌ها را به قربانیان بازگرداندند.

ارتباط بین گروه‌ها

علاوه بر این، محققان توانستند عوامل متعددی را شناسایی کنند که نشان‌دهنده ارتباطی با گروه کاراکورت (Karakurt) است.

یک اتصال به IP آدرس 209.222.98. 19، جایی که گروه اخاذی Karakurt میزبان سایت خود بود و اطلاعات سرقت شده قربانیان را منتشر کرد که پرداخت باج را مردود می‌کردند، برقرار شده بود.

چندین والت Karakurt رمزارز‌ها را به کیف پول‌هایی ارسال کردند که ظاهراً توسط Conti مدیریت می‌شد. علاوه بر این، آدرس‌های پرداخت قربانی Karakurt که توسط والت‌های Conti میزبانی می‌شوند، به یک ارتباط قوی اشاره می‌کنند.

علاوه بر این، یک قربانی قبلاً برای باز کردن قفل اطلاعات خود به Conti پول داده بوده است. افزون بر این، آن مشتری خاص توسط Karakurt از طریق backdoor متعلق به Cobalt Strike که توسط Conti به جا مانده بود، به خطر افتاده بوده است.

منبع: وب سایت کیان