Атакующий будет атаковать каждый новый сервер группы.
Неизвестный злоумышленник провел DDoS-атаку на серверы Cobalt Strike, которыми управляют бывшие члены Conti, сопровождающуюся антироссийскими сообщениями, чтобы помешать их деятельности.
После отключения своей внутренней инфраструктуры в мае участники Conti присоединились к другим группировкам – Quantum, Hive и BlackCat. Однако, бывшие члены Conti продолжают использовать ту же инфраструктуру Cobalt Strike для проведения новых атак в рамках других кампаний с программами-вымогателями.
Киберпреступник использует C&C-сервер TeamServer для управления полезными нагрузками Cobalt Strike Beacon на скомпрометированных хостах, что позволяет осуществлять боковое перемещение. При атаке серверов Cobalt Strike киберпреступник изменил имена компьютеров на различные антироссийские сообщения .
Генеральный директор компании AdvIntel Виталий Кремез заявил, что атакующий изначально был нацелен как минимум на 4 сервера Cobalt Strike, которые предположительно контролируются бывшими членами Conti. Кремез сказал, что сообщения заполняют серверы со скоростью 2 сообщения в секунду.
В результате такого большого количества эхо-запросов Java-приложение TeamServer перегружается, и его деятельность прерывается аналогично состоянию отказа в обслуживании (DoS).
По словам Кремеза , хакер постоянно нацелен на эти серверы Conti, возобновляя атаки каждый раз, когда обнаруживается новый сервер.
В Матрице безопасности выбор очевиден