DDoS-атака с антироссийскими сообщениями проведена на серверы группы Conti

Неизвестный злоумышленник провел DDoS-атаку на серверы Cobalt Strike, которыми управляют бывшие члены Conti, сопровождающуюся антироссийскими сообщениями, чтобы помешать их деятельности.

После отключения своей внутренней инфраструктуры в мае участники Conti присоединились к другим группировкам – Quantum, Hive и BlackCat. Однако, бывшие члены Conti продолжают использовать ту же инфраструктуру Cobalt Strike для проведения новых атак в рамках других кампаний с программами-вымогателями.

Киберпреступник использует C&C-сервер TeamServer для управления полезными нагрузками Cobalt Strike Beacon на скомпрометированных хостах, что позволяет осуществлять боковое перемещение. При атаке серверов Cobalt Strike киберпреступник изменил имена компьютеров на различные антироссийские сообщения.

Генеральный директор компании AdvIntel Виталий Кремез заявил, что атакующий изначально был нацелен как минимум на 4 сервера Cobalt Strike, которые предположительно контролируются бывшими членами Conti. Кремез сказал, что сообщения заполняют серверы со скоростью 2 сообщения в секунду.

В результате такого большого количества эхо-запросов Java-приложение TeamServer перегружается, и его деятельность прерывается аналогично состоянию отказа в обслуживании (DoS).

По словам Кремеза, хакер постоянно нацелен на эти серверы Conti, возобновляя атаки каждый раз, когда обнаруживается новый сервер.