Durante el fin de semana se confirmó que una compañía de ciberseguridad logró acceder a la dirección IP real de uno de los servidores controlados por los operadores del ransomware Conti, lo que les permitió acceder a una consola del sistema afectado y permanecer ocultos por casi un mes. Al parecer, el servidor expuesto es donde reside la plataforma de pagos de este grupo de hacking, la cual deben visitar las víctimas para pagar los rescates.
En su informe de más de 50 páginas, la firma suiza Prodaft reveló algunos detalles del incidente: “Nuestro equipo detectó una vulnerabilidad en los servidores utilizados por Conti, aprovechando este error para descubrir las direcciones IP reales del servicio oculto que aloja el sitio web de recuperación del grupo”. El servidor fue identificado como 217.12.204.135, dirección IP asociada a la firma de hosting web ITL LLC.
Los investigadores también mencionan que, mientras persistieron en los servidores comprometidos, lograron monitorear el tráfico en la red buscando otras direcciones IP asociadas a este servicio. Aunque la mayoría de conexiones pertenecían a algunas víctimas de Conti, los expertos también encontraron más servicios de los atacantes, la mala noticia es que estos eran solo los nodos de salida Tor usados por Conti, por lo que no fue posible encontrar ás información.
Esto no quiere decir que los expertos no hayan encontrado más información, ya que Prodaft también logró recolectar detalles sobre el sistema operativo del servidor y su archivo hrpasswd, el cual contiene una versión hashing de las contraseñas del servidor.
Los operadores de Conti ya están al tanto del incidente, por lo que desconectaron su portal de pagos de forma momentánea. Esto afectó a las víctimas más recientes de Conti, que no han podido negociar con los hackers por el momento.
Al respecto, los investigadores de MalwareHunterTeam creen que este periodo de inactividad es realmente inusual en un grupo de hacking como Conti, que por lo general mantiene una infraestructura estable y con hackers profesionales. Para el viernes por la noche, el sitio web de pagos de Conti ya estaba de nuevo en línea.
Prodaft concluyó que todos sus hallazgos fueron compartidos con las fuerzas del orden para el despliegue de eventuales acciones legales contra el grupo Conti y sus afiliados. No obstante, estos hallazgos generalmente se mantienen privados tanto como sea posible con el fin de dar tiempo a las fuerzas del orden público para tomar medidas contra los grupos cibercriminales, operaciones que generalmente toman meses.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
