محققان توانستند به سرور حملهای که توسط Conti استفاده میشد نفوذ کنند و جزئیات مختلفی را در مورد حملات آن کشف نمایند. علاوه بر این، ارتباط نزدیک بین باجافزار Conti/Diavol و گروه اخاذی داده Karakurt کشف شد که نشان میدهد این گروهها بخشی از همان عملیات هستند.
کشف زیرساخت حمله
پژوهشگران توانستند با اعتبار کاربری که گفته میشود رهبر سازمان جرایم سایبری بود، به سرور داخلی Conti VPS دسترسی پیدا کنند. این امر منجر به افشاگریهای متعددی در مورد ارتباط آنها با گروههای دیگر شد.
محققان به حساب ProtonMail مهاجم نفوذ کرده و اعتبار دسترسی مورد نیاز را کشف کرده بودند که از آن برای ورود به سرور Conti VPS استفاده میکردند.
این سرور حاوی بیش از ۲۰ ترابایت داده بود که کونتی قبل از رمزگذاری دادهها از قربانیان خود دزدیده بود.
سرور توسط Inferno Solutions میزبانی میشود، که ارائهدهندهای در روسیه است که از روشهای پرداخت ناشناس پشتیبانی میکند و سفارشها را از طریق اتصالات TOR و V-P-N میپذیرد.
تجزیه و تحلیل جزئیات ذخیرهشده در سرور ذخیرهسازی نشان داد که Conti دادههایی با برچسب زمانی قدیمیتر متعلق به قربانیانی دارد که هنوز فاش نشدهاند، که محققان آنها را به قربانیان بازگرداندند.
ارتباط بین گروهها
علاوه بر این، محققان توانستند عوامل متعددی را شناسایی کنند که نشاندهنده ارتباطی با گروه کاراکورت (Karakurt) است.
یک اتصال به IP آدرس 209.222.98. 19، جایی که گروه اخاذی Karakurt میزبان سایت خود بود و اطلاعات سرقت شده قربانیان را منتشر کرد که پرداخت باج را مردود میکردند، برقرار شده بود.
چندین والت Karakurt رمزارزها را به کیف پولهایی ارسال کردند که ظاهراً توسط Conti مدیریت میشد. علاوه بر این، آدرسهای پرداخت قربانی Karakurt که توسط والتهای Conti میزبانی میشوند، به یک ارتباط قوی اشاره میکنند.
علاوه بر این، یک قربانی قبلاً برای باز کردن قفل اطلاعات خود به Conti پول داده بوده است. افزون بر این، آن مشتری خاص توسط Karakurt از طریق backdoor متعلق به Cobalt Strike که توسط Conti به جا مانده بود، به خطر افتاده بوده است.
منبع: وب سایت کیان