Pentru susținerea conceptului de colaborare, așa cum scriam și în articolul Colaborare, Buget, Implicare | Ransomware – Cobalt Strike, în acest articol vor fi adăugate IP-urile din România, care sunt/ sau au fost compromise, prin intermediul agenților de exploatare Cobalt Strike, Scythe, Mythic și Posh.

Datele sunt publice, doar că, pentru centralizarea lor trebuie alocat puțin timp.
Ideea este ca cei din comunitatea de securitate cibernetică să aibă acces la aceste date, pentru a își putea proteja infrastructura lor sau a clienților.

Inițial, avertizarea a ajuns la CERT-RO, cu detaliile necesare, iar pe social media doar ca informație.

• 

• 

• 

Ip-urile din lista următoare, sunt servere sau dispozitive care au intrat în legătură cu agenți de exploatare, deoarece au/ au avut vulnerabilități exploatabile. Unele IP-uri apar în mai multe liste, ceea ce denotă că au fost testate/ exploatate din mai multe direcții.

Cobalt 1 Cobalt 2 Cobalt 3 Cobalt 4 Cobalt 5
Mythic 1 Mythic 2
Metasploit ssl listener Metasploit ssl listener
Merlin
MacC2 MacC2
Shad0w
GRAT2 C2
Covenant
SILENTRINITY
PoshC2

Sursa semnăturilor(hash): GitHub

Descoperirea la timp a unui server deja compromis, poate preveni un incident major. Uneori serverele sau dispozitivele sunt deja compromise, dar hackerii încă nu au început exploatarea lor, așa că trebuiesc luate măsuri IMEDIAT!

Succes la patch-uri și spor la treabă!