有人正在向 Conti 勒索软件团伙的前成员运营的 Cobalt Strike 服务器充斥反俄信息,以扰乱他们的活动。
Conti 勒索软件的运营商 在今年 5 月完成了关闭其内部基础设施的工作,但其成员已分散到其他勒索软件团伙,例如 Quantum、Hive 和 BlackCat。
然而,前 Conti 成员继续使用相同的 Cobalt Strike 基础设施在其他勒索软件操作下进行新的攻击。
服务器泛滥
有人现在正在跟踪勒索软件攻击者使用的 TeamServers (C2),以控制受感染主机(客户端)上的 Cobalt Strike (CS) Beacon 有效负载,从而允许在网络上横向移动。
当淹没 CS 服务器时,这些人使用的用户名是“停止普京!” 在多台计算机上并将其计算机名称更改为各种消息,例如“停止战争!,” “ 15000+ 死俄罗斯士兵!,”和“做一个俄罗斯爱国者!”
反俄笔记破坏了前 Conti Cobalt Strike 服务器
来源:Vitali Kremez ( AdvIntel )
网络情报公司Advanced Intelligence (AdvIntel) 的首席执行官 Vitali Kremez 告诉 BleepingComputer,无论是谁运行这些攻击,最初都针对至少四台据称由前 Conti 成员控制的 Cobalt Strike 服务器。
研究人员说,这些消息正以大约每秒两条的高速度涌入服务器。
由于大量 ping 的影响,TeamServer 的 Java 应用程序超载,并且活动以类似于拒绝服务 (DoS) 条件的方式中断。
在今年 4 月发布的最高 4.6 版本的工具包中,可以从 Java 应用程序运行 Cobalt Strike TeamServer。在最近的版本中,该组件从可执行映像 (TeamServerImage) 运行。
Kremez说,无论谁是这项活动的幕后黑手,他们都在不断地瞄准被认为由以前的 Conti 勒索软件成员操作的 Cobalt Strike 服务器,只要发现新服务器就会恢复洪水。
扭转网络犯罪分子的局面
目前尚不清楚这些信息的幕后黑手(可能是安全研究人员、执法机构、网络犯罪分子等任何人),但看起来他们正在让威胁参与者忙碌。
以前曾发生过通过拒绝服务来破坏勒索软件团伙的活动,LockBit 操作是最近的目标,据称是为了加密属于数字安全公司 Entrust 的系统。
这次攻击的严重程度足以让LockBit 关闭其泄漏站点 并开始重组其基础设施。与此同时,该团伙发布的所有数据均不可用。
黑客将 DDoS 归咎于 Entrust,因为 HTTPS 请求附带删除公司数据的消息。
然而,中断是暂时的,勒索软件攻击者通过更强大的基础设施上线,使他们即使在面临分布式拒绝服务 (DDoS) 攻击时也能保持被盗数据可用。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 勒索软件团伙Cobalt Strike服务器DDoSed充满斥反俄信息
