An t-seachdain sa chaidh Kommersant , gu robh “bunait luchd-cleachdaidh Street Beat agus Sony Center san raon phoblach,” ach ann an da-rìribh tha a h-uile dad tòrr nas miosa na na tha sgrìobhte san artaigil.
Tha mi mu thràth air mion-sgrùdadh teignigeach mionaideach a dhèanamh air an aodion seo. , mar sin an seo thèid sinn thairis air dìreach na prìomh phuingean.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Bha frithealaiche Elasticsearch eile le clàran-amais ri fhaighinn gu saor:
- liath-log2_0
- readme
- unauth_text
- http:
- liath-log2_1
В liath-log2_0 bha logaichean ann bho 16.11.2018 Samhain, 2019 gu Màrt XNUMX, agus ann an liath-log2_1 - logaichean bhon Mhàrt 2019 gu 04.06.2019/XNUMX/XNUMX. Gus an tèid ruigsinneachd gu Elasticsearch a dhùnadh, an àireamh de chlàran a-steach liath-log2_1 dh' fhàs.
A rèir einnsean sgrùdaidh Shodan, tha an Elasticsearch seo air a bhith ri fhaighinn gu saor bhon t-Samhain 12.11.2018, 16.11.2018 (mar a chaidh a sgrìobhadh gu h-àrd, tha a’ chiad inntrigidhean anns na logaichean leis an deit Samhain XNUMX, XNUMX).
Anns na logaichean, anns an raon gl2_iomallach_ip Chaidh seòlaidhean IP 185.156.178.58 agus 185.156.178.62 a shònrachadh, le ainmean DNS srv2.inventive.ru и srv3.inventive.ru:
Chuir mi fios Buidheann Mion-reic innleachdach (www.inventive.ru) mun duilgheadas air 04.06.2019/18/25 aig 22:30 (àm Moscow) agus ro XNUMX:XNUMX chaidh am frithealaiche “gu sàmhach” à sealladh bho ruigsinneachd poblach.
Na logaichean a tha ann (tha an dàta gu lèir nan tuairmsean, cha deach dùblaidhean a thoirt air falbh bhon àireamhachadh, agus mar sin tha an ìre de fhìor fhiosrachadh a chaidh a leigeil ma sgaoil nas coltaiche):
- còrr air 3 millean seòladh puist-d de luchd-ceannach bho stòran re:Store, Samsung, Street Beat agus Lego
- còrr air 7 millean àireamh fòn de luchd-ceannach bho stòran re:Store, Sony, Nike, Street Beat agus Lego
- còrr air 21 mìle paidhrichean logadh a-steach / facal-faire bho chunntasan pearsanta luchd-ceannach stòran Sony agus Street Beat.
- bha ainmean slàn (gu tric ann an Laideann) agus àireamhan cairt dìlseachd anns a' mhòr-chuid de chlàran le àireamhan fòn agus post-dealain.
Eisimpleir bhon log co-cheangailte ri teachdaiche stòr Nike (caractaran “X” an àite a h-uile dàta mothachail):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Agus seo eisimpleir de mar a chaidh logaichean agus faclan-faire bho chunntasan pearsanta luchd-ceannach air làraich-lìn a stòradh sc-stòr.ru и sràid-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Faodar aithris oifigeil an IRG mun tachartas seo a leughadh , earrann bhuaithe:
Cha b’ urrainn dhuinn a’ phuing seo a leigeil seachad agus dh’atharraich sinn na faclan-faire gu cunntasan pearsanta teachdaichean gu feadhainn sealach, gus a bhith a’ seachnadh cleachdadh dàta bho chunntasan pearsanta airson adhbharan meallta. Chan eil a 'chompanaidh a' dearbhadh aoidion de dhàta pearsanta de luchd-dèiligidh street-beat.ru. Chaidh sgrùdadh a bharrachd a dhèanamh air a h-uile pròiseact aig Inventive Retail Group. Cha deach bagairt sam bith air dàta pearsanta teachdaichean a lorg.
Tha e dona nach urrainn don IRG obrachadh a-mach dè a tha air a dhol a-mach agus dè nach eil. Seo eisimpleir bhon log co-cheangailte ris an neach-dèiligidh stòr Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Ach, gluaisidh sinn air adhart chun na fìor dhroch naidheachd agus mìnich carson a tha seo na aodion de dhàta pearsanta de luchd-dèiligidh IRG.
Ma choimheadas tu gu dlùth air clàran-amais an Elasticsearch seo a tha ri fhaighinn gu saor, chì thu dà ainm annta: readme и unauth_text. Tha seo na chomharradh àbhaisteach air aon den iomadh sgriobt ransomware. Thug e buaidh air còrr air 4 mìle seirbheisiche Elasticsearch air feadh an t-saoghail. Susbaint readme coltas mar seo:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Fhad ‘s a bha am frithealaiche le logaichean IRG ruigsinneach gu saor, fhuair sgriobt ransomware gu cinnteach cothrom air fiosrachadh an luchd-dèiligidh agus, a rèir na teachdaireachd a dh’ fhàg e, chaidh an dàta a luchdachadh sìos.
A bharrachd air an sin, chan eil teagamh sam bith agam gun deach an stòr-dàta seo a lorg romham agus gun deach a luchdachadh sìos mu thràth. Chanainn eadhon gu bheil mi cinnteach às a seo. Chan eil e na dhìomhaireachd gu bheilear a’ coimhead airson stòran-dàta fosgailte mar sin agus gan cuir a-mach.
Gheibhear naidheachdan mu aoidion fiosrachaidh agus daoine a-staigh an-còmhnaidh air an t-sianal Telegram agam"" .
Source: www.habr.com