ΑρχικήSecurityΠοιος βρίσκεται πίσω από τον ιστότοπο 8Base Ransomware;

Ποιος βρίσκεται πίσω από τον ιστότοπο 8Base Ransomware;

Η ιστοσελίδα του “victim shaming” που λειτουργούσαν οι κυβερνοεγκληματίες πίσω από το 8Base – επί του παρόντος μια από τις πιο ενεργές ομάδες ransomware – διέρρεε μέχρι νωρίτερα σήμερα αρκετές πληροφορίες που η εγκληματική ομάδα πιθανότατα δεν σκόπευε να δημοσιοποιήσει. Τα στοιχεία που διέρρευσαν υποδηλώνουν ότι τουλάχιστον μέρος του κώδικα του ιστότοπου γράφτηκε από έναν 36χρονο προγραμματιστή που κατοικεί στην πρωτεύουσα της Μολδαβίας.

Δείτε επίσης: Bumblebee malware: Νέες επιθέσεις κάνουν κατάχρηση φακέλων WebDAV

8Base Ransomware
Ποιος βρίσκεται πίσω από τον ιστότοπο 8Base Ransomware;

Η 8Base διατηρεί έναν ιστότοπο darknet που είναι προσβάσιμος μόνο μέσω του Tor. Ο ιστότοπος αναφέρει εκατοντάδες οργανισμούς και εταιρείες που θεωρούνται θύματα hack, καθώς αρνήθηκαν να πληρώσουν λύτρα για να αποτρέψουν τη δημοσίευση των κλεμμένων δεδομένων τους.

Η σελίδα darknet του 8Base διαθέτει επίσης μια ενσωματωμένη δυνατότητα συνομιλίας, προφανώς έτσι ώστε οι θύματα του 8Base να μπορούν να επικοινωνούν και να διαπραγματεύονται με τους διαχειριστές του ransomware. Αυτή η δυνατότητα συνομιλίας, που λειτουργεί με το πλαίσιο εφαρμογής ιστού Laravel, λειτουργεί καλά όσον αφορά την αποστολή πληροφοριών στην ιστοσελίδα (δηλαδή με την αποστολή ενός αιτήματος “POST”).

#secnews #comet 

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmN1MVA2VDBYcVJJ

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι

SecNewsTV 14 hours ago

Δείτε επίσης: Οι υπάλληλοι που κάνουν συνεχώς κλικ σε phishing emails θα πρέπει να απολύονται;

Ωστόσο, αν κάποιος προσπαθούσε να ανακτήσει δεδομένα από την ίδια υπηρεσία συνομιλίας (δηλαδή, κάνοντας ένα αίτημα “GET”), η ιστοσελίδα από πολύ πρόσφατα παρήγαγε έναν ακατάληπτα αναλυτικό μήνυμα σφάλματος.

Αυτή η σελίδα σφάλματος αποκάλυψε την πραγματική διεύθυνση Διαδικτύου της κρυφής υπηρεσίας Tor που φιλοξενεί τον ιστότοπο 8Base: 95.216.51[.]74, ο οποίος σύμφωνα με το DomainTools.com είναι ένας διακομιστής στη Φινλανδία που συνδέεται με τον γίγαντα hosting Hetzner με έδρα τη Γερμανία.

Αλλά αυτό δεν είναι το ενδιαφέρον μέρος: Κάνοντας scroll προς τα κάτω στο μακροσκελές μήνυμα σφάλματος, μπορούμε να δούμε έναν σύνδεσμο προς έναν ιδιωτικό διακομιστή Gitlab που ονομάζεται Jcube-group: gitlab[.]com/jcube-group/clients/apex/8base-v2. Ψάχνοντας περαιτέρω σε αυτόν τον λογαριασμό Gitlab, μπορούμε να βρούμε ορισμένα περίεργα data points διαθέσιμα στο δημόσιο αποθετήριο κώδικα του Ομίλου JCube.

Για παράδειγμα, αυτή η σελίδα “status.php”, η οποία δεσμεύτηκε στο αποθετήριο Gitlab της JCube Group πριν από περίπου ένα μήνα, περιλαμβάνει κώδικα που κάνει αρκετές αναφορές στον όρο “KYC” (π.χ. KYC_UNVERIFIED, KYC_VERIFIED και KYC_PENDING).

Δείτε επίσης: Auckland Transport: Η ομάδα Medusa έκλεψε δεδομένα

Αυτό είναι περίεργο, καθώς ένα σύνολο συχνών ερωτήσεων στον ιστότοπο του 8Base στο Darknet περιλαμβάνει μια ενότητα με τίτλο “ειδικές προσφορές για δημοσιογράφους και ρεπόρτερ”, η οποία αναφέρει ότι η εγκληματική ομάδα είναι ανοιχτή για συνεντεύξεις, αλλά οι δημοσιογράφοι πρέπει να αποδείξουν την ταυτότητά τους πριν γίνει οποιαδήποτε συνέντευξη. Το FAQ του 8Base αναφέρεται σε αυτήν τη διαδικασία ελέγχου ταυτότητας ως “KYC”, που σημαίνει “Know Your Customer.”

Η ιστοσελίδα του 8Base στο darknet διαθέτει επίσης μια δημόσια προσβάσιμη σελίδα σύνδεσης “admin”, η οποία περιλαμβάνει μια εικόνα ενός εμπορικού επιβατικού αεροσκάφους που φαίνεται να βρίσκεται σε αεροδρόμιο. Δίπλα στη φωτογραφία του αεροπλάνου υπάρχει ένα μήνυμα που λέει: “Καλώς ήρθατε στο 8Base. Σύνδεση διαχειριστή στον πίνακα ελέγχου του 8Base.”

Κάνοντας δεξί κλικ στη σελίδα διαχειριστή 8Base και επιλέγοντας “View Source” δημιουργείται ο κώδικας HTML της σελίδας. Αυτός ο κώδικας είναι σχεδόν πανομοιότυπος με μια σελίδα “login.blade.php” που δημιουργήθηκε και δεσμεύτηκε στο αποθετήριο Gitlab του JCube Group πριν από περίπου τρεις εβδομάδες.

Φαίνεται ότι ο υπεύθυνος για τον κώδικα της JCube Group είναι ο 36χρονος προγραμματιστής από το Κισινάου της Μολδαβίας, με το όνομα Andrei Kolev. Η σελίδα του κ. Kolev στο LinkedIn αναφέρει ότι είναι full-stack developer στη JCube Group και ότι αυτή τη στιγμή αναζητά εργασία. Η αρχική σελίδα της Jcubegroup[.]com παραθέτει μια διεύθυνση και έναν αριθμό τηλεφώνου που τα επίσημα μολδαβικά επιχειρηματικά αρχεία επιβεβαιώνουν ότι συνδέονται με τον κ. Kolev.

Οι αναρτήσεις στον λογαριασμό Twitter για τον κ. Kolev (@andrewkolev) είναι όλες γραμμένες στα ρωσικά και αναφέρονται σε πολλές διαδικτυακές επιχειρήσεις που δεν λειτουργούν πλέον, συμπεριλαμβανομένου του pluginspro[.]ru.

Αφού ζητήθηκε σχόλιο μέσω του LinkedIn, ο κ. Kolev δήλωσε ότι δεν είχε ιδέα γιατί το darknet site 8Base επιλέγει κώδικα από τον φάκελο “clients” του ιδιωτικού αποθετηρίου JCube Group στο Gitlab, ούτε πώς περιλαμβάνεται το όνομα 8Base.

Ο κ. Kolev μοιράστηκε ένα screenshot από τα τρέχοντα έργα του, αλλά πολύ γρήγορα το διέγραψε. Ωστόσο, το KrebsOnSecurity κατέγραψε ένα αντίγραφο της εικόνας προτού αφαιρεθεί:

KrebsOnSecurity: Εντός λίγων λεπτών από την εξήγηση του γιατί επικοινώνησα με τον κ. Κολέφ και την ανάλυση της διαδικασίας εύρεσης αυτής της σύνδεσης, η ιστοσελίδα του 8Base άλλαξε και το μήνυμα σφάλματος που συνδέονταν με το ιδιωτικό αποθετήριο Gitlab της JCube Group δεν εμφανίζονταν πλέον. Αντίθετα, η προσπάθεια να εκτελέσουμε την ίδια “GET” μέθοδο που περιγράφηκε παραπάνω προκάλεσε την επιστροφή μιας σελίδας σφάλματος “405 Method Not Allowed” από την ιστοσελίδα του 8Base.

Ο κύριος Κολέφ ισχυρίστηκε ότι δεν γνώριζε τίποτα για την τώρα αφαιρεθείσα σελίδα σφάλματος στον ιστότοπο της 8Base που αναφερόταν στο ιδιωτικό Gitlab αποθετήριό του, και είπε ότι διέγραψε το screenshot από τη συνομιλία στο LinkedIn επειδή περιείχε προσωπικές πληροφορίες.

Οι ομάδες ransomware είναι γνωστό ότι προσλαμβάνουν εξ αποστάσεως προγραμματιστές για συγκεκριμένα έργα χωρίς να αποκαλύπτουν ακριβώς ποιοι είναι ή πώς προορίζεται να χρησιμοποιηθεί ο κώδικας της νέας πρόσληψης και είναι πιθανό ένας από τους πελάτες του κ. Kolev να είναι η 8Base.

Ένα πρόσφατο άρθρο στο blog της VMware αποκαλεί την ομάδα 8Base ransomware “έναν ισχυρό παίκτη” που παρέμενε σχετικά άγνωστος παρά την τεράστια αύξηση της δραστηριότητάς του το καλοκαίρι του 2023.

Σύμφωνα με την VMware, αυτό που είναι ιδιαίτερα ενδιαφέρον στο στυλ επικοινωνίας της 8Base είναι η χρήση εκφράσεων που θυμίζουν σημαντικά άλλη γνωστή ομάδα κυβερνοεγκληματιών: RansomHouse.

Πηγή πληροφοριών: krebsonsecurity.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS