PSG Banatski Dvor doo Novi Sad - ransomware, onesposobljeni ključni sistemi

[milos_rs]

domeni firme:

psgbdvor.rs
psgbdvor.com
psgbdvor.net

svi idu na:

Code:

psgbdvor.rs has address 194.247.196.19
psgbdvor.rs mail is handled by 10 mail.psgbdvor.rs.
psgbdvor.rs mail is handled by 20 relay.eunet.rs.
mail.psgbdvor.rs has address 213.240.41.18

takođe postoji i ns.psgbdvor.rs kao i webmail.psgdbvor.rs koji takođe idu na adresu 213.240.41.18

SPF: v=spf1 ip4:213.240.41.18 ip4:213.240.41.24 ~all

194.247.196.19 je verovatno web hosting kod yunet.rs - YUNET INTERNATIONAL d.o.o.

Sajt na IP adresi kao i sama IP adresa su nedostupni, kada su poslednji put bili dostupni ne mogu da nađem, moguće je da nije nikada ni bio aktivan sajt jer ne nalazim ni jednu keširanu kopiju?

IP adresa gde je mejl server, 213.240.41.18, je deo koji je YUNET delegirao samoj firmi:

Code:

inetnum:        213.240.41.16 - 213.240.41.31
netname:        PSG-BANATSKIDVOR-NET
descr:          PSG Banatski dvor d.o.o.
descr:          Narodnog fronta 12
descr:          21000 Novi Sad
descr:          Serbia
country:        RS
admin-c:        BV2061-RIPE
tech-c:         DB18486-RIPE
status:         ASSIGNED PA
mnt-by:         AS8771-MNT
created:        2013-07-24T10:25:38Z
last-modified:  2013-07-24T10:25:38Z
source:         RIPE # Filtered
person:         Branislava Vukic
address:        PSG Banatski dvor d.o.o.
address:        Narodnog fronta 12
address:        21000 Novi Sad
address:        Serbia
phone:          +381 21 481 2115
fax-no:         +381 21 471 4361
nic-hdl:        BV2061-RIPE
mnt-by:         AS8771-MNT
created:        2013-07-24T10:25:38Z
last-modified:  2013-07-24T10:25:38Z
source:         RIPE # Filtered
person:         Dejan Belic
address:        PSG Banatski dvor d.o.o.
address:        Narodnog fronta 12
address:        21000 Novi Sad
address:        Serbia
phone:          +381 21 481 2115
fax-no:         +381 21 471 4361
nic-hdl:        DB18486-RIPE
mnt-by:         AS8771-MNT
created:        2013-07-24T10:25:38Z
last-modified:  2013-07-24T10:25:38Z
route:          194.247.192.0/19

descr:          YUnet International
origin:         AS8771
mnt-by:         AS8771-MNT
created:        2002-08-20T20:37:38Z
last-modified:  2013-08-07T10:26:56Z
source:         RIPE

I izgleda da u ovom trenutku ide preko Telekoma:

Code:

traceroute to 213.240.41.18 (213.240.41.18), 30 hops max, 60 byte packets
...
7  telekom.sox.rs (185.1.27.38)  8.415 ms  11.010 ms  11.000 ms
8  212.200.7.69 (212.200.7.69)  10.991 ms  9.533 ms  9.119 ms
9  durum.mitsidespoint.co.yu (212.200.231.206)  11.116 ms  11.103 ms  11.122 ms
10  mail.psgbdvor.rs (213.240.41.18)  10.728 ms  10.719 ms  11.063 ms^C

(volim ove nikad ažurirane .co.yu PTR rekorde)

Mejl server je u ovom trenutku nedostupan.  Sad zapravo nisam siguran da li je bio nedostupan jer kad sam išao da proverim još jednom radio je :

   

Takođe je zanimljivo da je do (možda) 2024-05-28 mail.psgbdvor.rs bio usmeren na drugu IP adresu, 92.42.254.113, koja je kod mediaworksit.net tj. Orion Telekom-a, mada da li se ovo zaista desilo i datum kada se desilo ne mogu da precizno odredim.

Timeline za sada:

2024-05-20 : Objavljuje se prodaja pristupa firmi - https://bezbedanbalkan.net/thread-1482.html
2024-05-28 : Ransomware grupa objavljuje da je kompromitovala firmu, istog dana se navodno menja DNS mejl servera sa IP adrese Orion-a na sopstvenu IP adresu. Dan kasnije je objavljena vest koja je linkovana u prvom komentaru ove teme, a prva spomen na X-u je datuma 2024-05-28 14:58