Kommersant tamin'ny herinandro lasa , fa “eo amin'ny sehatra ho an'ny daholobe ny tobin'ny mpanjifan'ny Street Beat sy Sony Center”, saingy raha ny marina dia ratsy lavitra noho izay voasoratra ao amin'ny lahatsoratra ny zava-drehetra.
Efa nanao famakafakana teknika amin'ny antsipiriany momba an'io leak io aho. , ka ny hevi-dehibe ihany no hodinihintsika eto.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.Mpizara Elasticsearch hafa miaraka amin'ny index dia azo maimaim-poana:
- graylog2_0
- readme
- unauth_text
- http:
- graylog2_1
В graylog2_0 misy diary nanomboka tamin'ny 16.11.2018 Novambra 2019 hatramin'ny Martsa XNUMX, ary tao anatin'izany graylog2_1 - diary nanomboka ny martsa 2019 hatramin'ny 04.06.2019/XNUMX/XNUMX. Mandra-pikatona ny fidirana amin'ny Elasticsearch, ny isan'ny firaketana ao graylog2_1 nitombo.
Araka ny voalazan'ny motera fikarohana Shodan, ity Elasticsearch ity dia azo alaina maimaim-poana nanomboka tamin'ny 12.11.2018 Novambra 16.11.2018 (araka ny voasoratra etsy ambony dia ny XNUMX Novambra XNUMX ny fidirana voalohany amin'ny logs).
Ao amin'ny logs, any an-tsaha gl2_remote_ip Ny adiresy IP 185.156.178.58 sy 185.156.178.62 dia voafaritra, miaraka amin'ny anarana DNS srv2.inventive.ru и srv3.inventive.ru:
Nampandrenesiko Ny orinasa Inventive Retail Group (www.inventive.ru) momba ny olana tamin'ny 04.06.2019/18/25 tamin'ny 22:30 (fotoan'i Moskoa) ary tamin'ny XNUMX:XNUMX dia nanjavona tamin'ny fidirana ho an'ny daholobe ny mpizara.
Ireo diary voarakitra (tombanana avokoa ny angon-drakitra rehetra, tsy nesorina tamin'ny kajikajy ny dika mitovy, noho izany dia mety ho kely kokoa ny habetsaky ny vaovao tafaporitsaka):
- adiresy mailaka maherin'ny 3 tapitrisa an'ny mpanjifa avy amin'ny fivarotana re: Store, Samsung, Street Beat ary Lego
- Maherin'ny 7 tapitrisa ny nomeraon-telefaona mpanjifa avy amin'ny fivarotana re: Store, Sony, Nike, Street Beat ary Lego
- mihoatra ny 21 arivo ny fidirana / tenimiafina avy amin'ny kaonty manokana an'ny mpividy ny fivarotana Sony sy Street Beat.
- Ny ankamaroan'ny firaketana misy nomeraon-telefaona sy mailaka dia misy anarana feno (matetika amin'ny teny latina) sy laharan'ny karatra mahatoky.
Ohatra avy amin'ny diary mifandraika amin'ny mpanjifan'ny fivarotana Nike (ny angona saropady rehetra nosoloina tarehin-tsoratra “X”):
"message": "{"MESSAGE":"[URI] /personal/profile/[МЕТОД ЗАПРОСА] contact[ДАННЫЕ POST] Arrayn(n [contact[phone]] => +7985026XXXXn [contact[email]] => [email protected] [contact[channel]] => n [contact[subscription]] => 0n)n[ДАННЫЕ GET] Arrayn(n [digital_id] => 27008290n [brand] => NIKEn)n[ОТВЕТ СЕРВЕРА] Код ответа - 200[ОТВЕТ СЕРВЕРА] stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7985026XXXXn [email] => [email protected] [channel] => 0n [subscription] => 0n )nn)n","DATE":"31.03.2019 12:52:51"}",Ary ity misy ohatra iray momba ny fomba fitehirizana ny fidirana sy ny tenimiafina avy amin'ny kaontin'ny mpividy amin'ny tranokala sc-store.ru и street-beat.ru:
"message":"{"MESSAGE":"[URI]/action.php?a=login&sessid=93164e2632d9bd47baa4e51d23ac0260&login=XXX%40gmail.com&password=XXX&remember=Y[МЕТОД ЗАПРОСА] personal[ДАННЫЕ GET] Arrayn(n [digital_id] => 26725117n [brand]=> SONYn)n[ОТВЕТ СЕРВЕРА] Код ответа - [ОТВЕТ СЕРВЕРА] ","DATE":"22.04.2019 21:29:09"}"Azo vakiana ny fanambarana ofisialin'ny IRG momba ity tranga ity , ampahany amin'izany:
Tsy azonay tsinontsinoavina ity teboka ity ary nanova ny tenimiafina ho an'ny kaontin'ny mpanjifa ho an'ny kaontin'ny mpanjifa ho vonjimaika, mba hialana amin'ny mety hampiasana ny angona avy amin'ny kaonty manokana ho an'ny tanjona hosoka. Ny orinasa dia tsy manamarina ny fivoahan'ny angon-drakitra manokana an'ny mpanjifa street-beat.ru. Nojerena koa ny tetikasa rehetra an'ny Inventive Retail Group. Tsy nisy fandrahonana ny angon-drakitra manokan'ny mpanjifa hita.
Ratsy ny tsy hahafantaran'ny IRG hoe inona no tafaporitsaka sy tsy nisy. Ity misy ohatra avy amin'ny diary mifandraika amin'ny mpanjifa fivarotana Street Beat:
"message": "{"MESSAGE":"'DATA' => ['URI' => /local/components/multisite/order/ajax.php,'МЕТОД ЗАПРОСА' = contact,'ДАННЫЕ POST' = Arrayn(n [contact[phone]] => 7915545XXXXn)n,'ДАННЫЕ GET' =nttArrayn(n [digital_id] => 27016686n [brand] => STREETBEATn)n,'ОТВЕТ СЕРВЕРА' = 'Код ответа - '200,'RESPONCE' = stdClass Objectn(n [result] => successn [contact] => stdClass Objectn (n [phone] => +7915545XXXXn [email] => [email protected]","Дата":"01.04.2019 08:33:48"}",Na izany aza, andeha isika hiroso amin'ny vaovao tena ratsy ary hazavao ny antony mahatonga an'io fiparitahan'ny angon-drakitra manokana an'ny mpanjifa IRG io.
Raha mijery akaiky ny fanondroan'ity Elasticsearch maimaim-poana ity ianao dia hahita anarana roa ao aminy: readme и unauth_text. Ity dia famantarana mampiavaka ny iray amin'ireo script ransomware maro. Nisy fiantraikany tamin'ny mpizara Elasticsearch mihoatra ny 4 arivo eran'izao tontolo izao. Votoaty readme toy izao ity:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"Na dia azo nidirana malalaka aza ny mpizara misy logiciel IRG, dia nisy script ransomware azo antoka fa nahazo fidirana amin'ny mombamomba ny mpanjifa ary, araka ny hafatra navelany, dia nalaina ny angon-drakitra.
Fanampin'izay, tsy isalasalana aho fa hita teo alohako ity angon-drakitra ity ary efa nalaina. Izaho mihitsy no hilaza fa azoko antoka izany. Tsy misy tsiambaratelo fa ny angon-drakitra misokatra toy izany dia mikaroka sy mivoaka.
Ny vaovao momba ny fiparitahan'ny vaovao sy ny anatiny dia azo jerena ao amin'ny fantsona Telegram-ko "" .
Source: www.habr.com