После взлома серверов, управляемых киберпреступниками, исследователи безопасности обнаружили связь между Conti ransomware и недавно появившейся группой вымогателей данных Karakurt, показав, что эти две банды являются частью одной и той же организации.
Синдикат Conti ransomware - одна из самых плодовитых киберпреступных группировок на сегодняшний день, которая действует без остановки, несмотря на массовую утечку внутренних чатов и исходного код.
Каракурт (Karakurt) - это банда, действующая по крайней мере с июня 2021 года, которая специализируется на краже данных у компаний и принуждении их к выплате выкупа, угрожая опубликовать информацию.
Более 40 организаций стали жертвами Karakurt примерно за два месяца, с сентября по ноябрь 2021 года.
Связь между двумя группами стала явной после того, как исследователи безопасности получили доступ к внутреннему серверу Conti VPS с учетными данными пользователя, который, по их мнению, является лидером всего синдиката.
Вход на сервер стал возможен после того, как исследователи взломали учетную запись ProtonMail угрожающего субъекта и нашли необходимые учетные данные.
Когда исследователи получили доступ к VPS-серверу, на нем хранилось более 20 ТБ данных, которые Conti украла у своих жертв перед развертыванием этапа шифрования атаки.
Исследователи безопасности из турецкой консалтинговой компании Infinitum IT утверждают, что VPS-сервер размещен на сервере Inferno Solutions, провайдера в России, который поддерживает анонимные методы оплаты и принимает заказы через VPN и TOR-соединения.
В то же время Inferno Solutions утверждает, что они "не терпят спамеров, мошенников или киберпреступников", что они всегда на стороне клиента, и что они "не беспокоят клиентов в случае сомнительных и незаконных жалоб (злоупотреблений)".
В своем недавнем отчете компания Infinitum IT сообщила, что смогла получить доступ к инфраструктуре Conti в момент начала утечки данных из Conti, 27 февраля, после входа в несколько учетных записей ProtonMail и Mega storage, используемых одним из членов Conti.
"В начале утечки Conti 27 февраля 2022 года нам удалось проникнуть внутрь нескольких учетных записей Protonmail и Mega Upload, используемых одним из ключевых членов группы Conti Ransomware" - Infinitum IT
Зайдя в почтовые аккаунты, исследователи заметили входящие электронные письма от хостинг-провайдера Inferno Solutions, что позволило им получить удаленный доступ к панели администрирования VPS-сервера.
Анализ информации на сервере хранения показал, что у Conti были данные с более старой временной меткой, принадлежащие жертвам, которые не были раскрыты публично. Infinitum IT связалась с жертвами, чтобы вернуть украденные данные.
Исследователи заметили, что член Conti, чьи учетные записи были взломаны, использовал FTP-клиент FileZilla для подключения к нескольким серверам для загрузки и выгрузки украденных данных.
Одно соединение было с IP-адресом 209[.]222[.]98[.]19, на котором располагался сайт вымогательской группы Karakurt, где они публиковали украденные данные жертв, не заплативших деньги.
BleepingComputer узнал несколько месяцев назад от других исследователей безопасности, что Karakurt - это побочный бизнес синдиката Конти для получения прибыли от неудачных атак шифровальщиков.
Когда полезная нагрузка ransomware от Conti блокируется и атака не переходит в стадию шифрования, хакеры выпускают уже эксфильтрованную информацию в виде Karakurt для вымогательства данных.
Хотя администратор Conti не сохранил пароли в FTP-клиенте, исследователи Infinitum IT утверждают, что им удалось получить учетные данные SSH для командно-контрольного (C2) сервера Karakurt, воспользовавшись непропатченной уязвимостью в FileZilla.
Исследователи также получили таким образом закрытый ключ SSH, который позволил подключиться к веб-серверу банды Каракурта для их сайта утечек, который также обслуживается через сеть TOR.
Согласно анализу, проведенному Infinitum IT, члены банды Karakurt загружают украденные данные в папку "/work" и классифицируют их как публичные и непубличные, их интересует в основном финансовая информация.
Поскольку Infinitum IT полностью скомпрометировала инфраструктуру банды Каракурта, она также смогла получить доступ к серверу C2 и инструментам, используемым в атаках.
Ниже приводится перечень утилит, которые Karakurt использует в атаках, и их описание:
- Ligolo-ng: инструмент туннелирования
- Metasploit: используется в качестве C2-сервера на этапе пост-эксплуатации для получения обратного шелла и для брутфорсинга SMB-долей и RDP-соединений
- Impacket: используется для NTLM-релейных атак для "горизонтального" перемещения после получения начального доступа
- Danted: сценарий автоматической установки и управления прокси-сервером Danted-Socks5 для обратного туннелирования
Отчет Infinitum IT является первым публичным доказательством того, что Conti ransomware и банда вымогателей данных Karakurt являются частью одной и той же финансово мотивированной группы.
После того, как Конти взял на себя управление печально известным ботнетом TrickBot и закрыл его, чтобы сосредоточиться на разработке вредоносных программ BazarBackdoor и Anchor, исследователи показывают, что расширение синдиката стало более агрессивным.
Конти теперь управляет "дочерними" предприятиями, которые либо поддерживают его операции с выкупными программами, либо монетизируют уже имеющийся первоначальный доступ к сети.