Security Professionals - ipfw add deny all from eindgebruikers to any

Lek bij de Conti ransomware groep:handleiding 'hoe komen we binnen'

06-08-2021, 13:17 door Anoniem, 8 reacties
Reacties (8)
09-08-2021, 13:46 door Anoniem
De betreffende ISP weet toch dan wie zich achter de gebruikte IP adressen verbergt.
Waarom zijn deze verdachten dan al niet opgespoord via een court-order?

Of speelt er iets geheel anders? Ransomeware activiteiten ten dienste van een bepaalde agenda misschien?
Sinds er wereldwijd een coup op de gelobale bevolking gepleegd is, verbaast ons toch niets meer?

#sockpuppet
09-08-2021, 15:45 door Anoniem
Lekken vanuit groepen zoals Conti zijn uiterst zeldzaam. De gelekte bestanden bevatten handleidingen voor basale tactieken en technieken. Echt baanbrekend zijn de gegevens niet.

Het doornemen van de informatie helpt om de detectie van inbraken te verbeteren en je weet de modus operandi. Daar kun je dan actie op ondernemen.
09-08-2021, 22:31 door Anoniem
De IP adressen van Belcloud op Cyprus kunnen een aanduiding zijn voor een groep met Russische afflilaties.
Maar i.t.t. Russische malcreanten, die zelden in hun eigen achtertuin opereren, heeft deze groep wel Russische banken op het oog. Dus toch een "cloak and dagger"-operatie vanuit New York?

Lees voor meer speculaties: https://www.anomali.com/blog/anomali-cyber-watch-apt-groups-cobalt-strike-russia-malware-and-more

#sockpuppet
10-08-2021, 11:13 door Anoniem
Door Anoniem: De IP adressen van Belcloud op Cyprus kunnen een aanduiding zijn voor een groep met Russische afflilaties.
Maar i.t.t. Russische malcreanten, die zelden in hun eigen achtertuin opereren, heeft deze groep wel Russische banken op het oog. Dus toch een "cloak and dagger"-operatie vanuit New York?

Lees voor meer speculaties: https://www.anomali.com/blog/anomali-cyber-watch-apt-groups-cobalt-strike-russia-malware-and-more

#sockpuppet

Of mischien toch simpel gezegd criminelen die net zoals zoveel criminelen het niet zo gek veel uitmaakt waar de buit vandaan komt ALS die maar komt,
Genoeg criminelen die in eigen land criminele handelingen uitvoeren hoor!
Niet alles is meteen een spannende thriller of een conspiracy theory ;-)
10-08-2021, 13:04 door Anoniem
Kan ook een 'omgeturnde' Cobalt Strike pentester tussen zitten. Wie weet?
Misschien iemand in dienst van Crooks in Action of haar tegenhanger?
Run-of-the-mill criminelen kunnen hier toch geen leiding aan geven? Hoogstens zorgen voor finance.

Je kunt conspiracy ook niet uitsluiten. Men kan ook nooit zeggen "er zijn nooit false flags geweest".
Tnas is alles mogelijk. Wit is zwart en zwart vaak wit.
10-08-2021, 15:28 door Anoniem
Het gaat om een "A disgruntled member" die te weinig betaald kreeg voor zijn actie(s).
10-08-2021, 23:40 door Anoniem
"Een ontevreden (bende)lid", dat neem ik beslist meteen aan of soms een ontevreden slingeraar aan de bitcoin-cementmolen?

Conti maakt o.m. misbruik van trickbot in hun malware en een bekende verspreider ervan zit in Bulgarije op een bulletproof server in Sopot.

Door het Trickbot areaal bloot te leggen via IP adressen kan men al een zeker inzicht verkrijgen, waar de ellende vandaan stamt. Aan de "vruchten" kent men de boom, zou ik zo zeggen. En Bulgarije was de bakermat van de latere Russische Orthodoxie (kerkgezangen).

luntrus
11-08-2021, 03:41 door Anoniem
Dit is een vrij standaard pentest/red team riedeltje. Bij grote bedrijven zou je detectie verwachten en/of controls welke een deel van de killchain om zeep helpen zodat het encryptie doel nooit gehaald wordt.

Wel lekker binnen lopen. Overdag als consultant je truukje doen en 's avonds nog eens herhalen met een zwart hoedje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.