Hacker working in the darkness

Mentre la tensione è alle stelle per quanto riguarda il conflitto Russia-Ucraina, il gruppo ransomware Conti – un’organizzazione con sede in Russia responsabile di numerosi attacchi cyber di alto profilo, ha annunciato il proprio sostegno riguardo l’invasione di Putin, ritirando però l’affermazione poco dopo e denunciando il conflitto.

Il danno era però ormai stato fatto. Soprattutto perché tra il grande numero di persone con accesso ai file di Conti e ai sistemi di chat interna si trovava un ricercatore ucraino esperto in cybersecurity che si era infiltrato nel gruppo.

Il 28 febbraio, un account Twitter appena creato chiamato @ContiLeaks ha rilasciato più di 60.000 messaggi di chat inviati tra i membri della banda, il suo codice sorgente e decine di documenti interni.

Prima di procedere, vediamo con precisione di cosa si parla quando si cita la gang Conti.

Una potente banda di cybercriminali

Conti è un gruppo di hacker di lingua russa, il quale gestisce anche un modello di business che utilizza i ransomware-as-a-service (RaaS). Il gruppo è in circolazione solo da due anni, ma in poco tempo ha acquisito notorietà come uno dei gruppi di estorsioni online di maggior successo di tutti i tempi. Solo l’anno scorso, ha generato un fatturato di 180 milioni di dollari, secondo l’ultimo Crypto Crime Report pubblicato dalla società di monitoraggio della valuta virtuale Chainalysis.

Tendenzialmente, il gruppo attacca aziende di alto profilo e con alto fatturato. Uno degli attacchi più celebri è stato quello all’HSE, il sistema sanitario irlandese. Il danno, causato dall’apertura di una e-mail di phishing da parte di un impiegato, è costato all’Irlanda più di 100 milioni di dollari: Conti ha chiesto un riscatto di 20 milioni di dollari in cambio del decryptor, ma l’Health Service Executive (HSE) ha rifiutato di pagare.

Sebbene Conti sia considerato una variante di RaaS, la sua struttura presenta piccole differenze che lo differenziano da un modello tipico di ransomware. È probabile che gli sviluppatori di Conti paghino ai distributori del ransomware un vero e proprio stipendio anziché una percentuale dei proventi utilizzati dagli attori informatici affiliati e ricevano una quota dei proventi di un attacco riuscito.

Conti ottiene l’accesso iniziale alle reti attraverso diverse modalità:

  • Campagne di spearphishing che utilizzano e-mail personalizzate che contengono allegati dannosi o collegamenti dannosi; in particolare, gli allegati di Word possono contenere script incorporati che possono essere utilizzati per scaricare o rilasciare altro malware, come TrickBot e IcedID. Questo per assistere con il movimento laterale e le fasi successive del ciclo di vita dell’attacco con l’obiettivo finale di distribuire il ransomware.
  • Credenziali RDP (Remote Desktop Protocol) rubate o deboli;
  • Chiamate telefoniche;
  • Software falso promosso tramite la SEO (Search Engine Optimization)
  • Altre reti di distribuzione di malware (ad es. ZLoader);
  • e vulnerabilità comuni negli asset esterni.

Conti e il conflitto Russia-Ucraina

Come menzionato prima, poco dopo che la gang ha dichiarato supporto a Putin durante il conflitto, essa è stata colpita da un enorme data leak. Poco prima, Conti aveva pubblicato un messaggio sul dark web indicando che voleva partecipare alla guerra in Ucraina come “difesa informatica” dalla parte della Russia. Il gruppo proponeva di attaccare obiettivi occidentali in risposta a eventuali attacchi informatici al governo russo o alle infrastrutture critiche del paese.

Nonostante il gruppo sia nato in Russia, i membri sono sparsi in diverse parti, soprattutto dell’Est Europa. L’annuncio del diretto supporto a Putin non è andato giù ad un ricercatore ucraino, che per difendere il proprio paese, ha creato @Contileaks.

I dati rilasciati contengono dettagli su specifiche campagne di hacking, portafogli Bitcoin utilizzati dalla gang e riflessioni sul futuro della criptovaluta come strumento per il riciclaggio di denaro. I file mostrano anche dettagli sull’uso di specifici strumenti per i malware e approfondimenti sulle loro tecniche di negoziazione.

La dimensione del gruppo varia da 65 a più di 100 dipendenti. Proprio come altre strutture aziendali as-a-service, la struttura di Conti è composta da dirigenti superiori e medi con impiegati di livello base che svolgono gran parte del lavoro. I membri spendono milioni di dollari ogni mese per acquistare strumenti di sicurezza e antivirus per vedere se questi erano in grado di rilevare il loro malware; quindi, li implementavano sui propri sistemi.

I registri delle chat trapelati hanno anche rivelato che ci sono istruttori di negoziazione dedicati. I dipendenti entry-level si affidano a broker di accesso iniziale – le persone che ottengono l’accesso alle reti aziendali – che lavorano nei fine settimana per garantire che i livelli più alti del gruppo abbiano abbastanza lavoro.

Con questo data leak arrivano molti dati preziosi da analizzare: conoscere il funzionamento interno di Conti aiuterà anche le organizzazioni a gestire meglio potenziali attacchi ransomware.