Связь между двумя группировка была обнаружена после того, как исследователи в области безопасности получили доступ к внутреннему VPS-серверу Conti.

Исследователи в области кибербезопасности обнаружили связь между программой-вымогателем Conti и недавно появившейся вымогательской группировкой Karakurt.

Conti — одна из самых плодовитых группировок киберпреступников на сегодняшний день, которая не ослабевает, несмотря на масштабную утечку внутренних разговоров и исходного кода.

Karakurt действует по крайней мере с июня 2021 года. Хакеры крадут данные у компаний, а потом принуждают их к выплате выкупа, угрожая опубликовать похищенную информацию. Примерно за два месяца (с сентября по ноябрь 2021 года) жертвами Karakurt стали более 40 организаций.

Связь между двумя группировками была обнаружена после того, как исследователи в области безопасности получили доступ к внутреннему VPS-серверу Conti с учетными данными пользователя, которого они считают лидером всего синдиката. На сервере VPS хранилось более 20 ТБ данных, которые Conti украла у своих жертв.

По словам экспертов из турецкой консалтинговой компании Infinitum, VPS-сервер размещен у провайдера Inferno Solutions в России, который поддерживает анонимные способы оплаты и принимает заказы через соединения VPN и TOR. При этом Inferno Solutions заявляет, что «не терпит спамеров, мошенников или киберпреступников», всегда на стороне клиента и «не беспокоит клиентов в случае сомнительных и неправомерных жалоб».

Оказавшись внутри учетных записей электронной почты Protonmail и Mega Upload, исследователи обнаружили входящие электронные письма от хостинг-провайдера Inferno Solutions, что позволило им получить удаленный доступ к панели администрирования VPS-сервера. Анализ информации на сервере хранения показал, что у Conti были данные с более старой отметкой времени, принадлежащие жертвам, сведения о которых не были обнародованы.

Участник Conti, учетные записи которого взломали специалисты, использовал FTP-клиент FileZilla для подключения к нескольким серверам для загрузки и скачивания украденных данных. Одно подключение указывало на IP-адрес, где группировка вымогателей Karakurt разместила свой сайт и публиковала украденные данные от неплательщиков.

Расследование Chainalysis выявило несколько кошельков Karakurt, которые отправляли криптовалюту на кошельки, контролируемые Conti. По данным исследователей, выплаты от жертв составляли от $45 тыс. до $1 млн.

Хотя администратор Conti не сохранил пароли в FTP-клиенте, исследователи Infinitum получили учетные данные SSH для командного сервера Karakurt, воспользовавшись неисправленной уязвимостью в FileZilla. Специалисты также получили закрытый ключ SSH, который позволил подключиться к web-серверу Karakurt для их сайта утечек данных.

Источник: securitylab