Dalle prime analisi di Swascan dai soli dati resi pubblici emerge un giro d’affari cybercriminale di oltre 2 miliardi di dollari. La portata dell’evento è senza precedenti: mai prima d’ora l’attività interna quotidiana di un gruppo di ransomware era stata rivelata in modo simile. Il gruppo di ransomware Conti, l’estesa rete di criminali informatici, lo scorso anno ha estorto 180 milioni di dollari alle sue vittime. I problemi e le divisioni all’interno del gruppo sono iniziati quando ha deciso di sostenere l’invasione dell’Ucraina.
“Dalle analisi condotte dal SOC e Threat Intelligence Team di Swascan – dichiara Pierguido Iezzi, CEO di Swascan, polo italiano della cybersicurezza del Gruppo Tinexta – le informazioni trapelate danno la possibilità di osservare dall’interno le trame e gli affari di una delle maggiori cybergang russe, che si concentra sulla distribuzione del suo ransomware contro le aziende con più di 100 milioni di dollari di fatturato. I registri forniscono anche elementi su come Conti, un’impresa digitale criminale con oltre 100 dipendenti a libro paga, ha affrontato le proprie violazioni interne e gli attacchi da parte di società di sicurezza private e di governi stranieri. Grazie alla defezione di un membro della gang, possiamo ora volgere uno sguardo approfondito sui meccanismi del cybercrime che non ha precedenti”.
Sono stati divulgati 7.3 terabyte con le informazioni esfiltrate dalle aziende colpite da ransomware, le tecniche di intrusione, i manuali per gli affiliati e liste di credenziali rubate.
Il ransomware è un tipo di software dannoso (malware) che minaccia di pubblicare o blocca l’accesso ai dati o a un sistema informatico, di solito crittografandolo, fino a quando la vittima non paga una tassa di riscatto all’attaccante. In molti casi, la richiesta di riscatto arriva con una scadenza. Se la vittima non paga in tempo, i dati spariscono per sempre o il riscatto aumenta.
Il 27 febbraio, a tre giorni dall’attacco russo all’Ucraina e a meno di 48 ore dalle controverse dichiarazioni di sostegno al Cremlino da parte del Conti Team – una delle maggiori cybergang russe – apparse sul Dark Web e poi immediatamente ritrattate in favore di un più generico antiamericanismo, compare su Twitter il nuovo account @ContiLeaks. Tramite esso, un ricercatore di sicurezza ucraino ha divulgato diversi anni di log di chat interne alla celebre organizzazione cybercriminale russa e altri dati sensibili legati a Conti.
Il primo link pubblicato da @ContiLeaks rimanda ad un archivio di messaggi, che vanno dal 29 gennaio 2021 ad oggi, presi dalla chat privata di Conti con un messaggio: “Gloria all’Ucraina”. In seguito sono state pubblicate ulteriori chat dal 22 giugno al 16 novembre 2020 e tuttora l’account continua a rilasciare dati che offrono l’opportunità, unica nel suo genere, di veder dall’interno la gestione di una organizzazione cybercriminale.
“Nei giorni successivi – osserva Iezzi – sono proseguiti i leak di chat e dati, dando addirittura accesso a diversi server interni di backup, tra i quali uno in particolare da 7,3 Terabyte che i nostri analisti hanno potuto esaminare, dove la gang andava tra l’altro a salvare i dati esfiltrati alle compagnie vittime di attacchi ransomware”.
Tutti i data leak rilasciati dal profilo @ContiLeaks sono stati raccolti e organizzati dal gruppo di ricercatori malware “VX-Underground”, permettendo così un’analisi più ragionata delle informazioni che ha consentito di individuare i software opensource utilizzati dal gruppo criminale per sviluppare i propri applicativi, i relativi manuali d’utilizzo per gli affiliati, le tecniche per le intrusioni nelle infrastrutture digitali, il codice del famigerato malware Trickbot che ha infettato milioni di device negli ultimi anni, l’identità dell’autore dei suoi codici – che beffardamente prende il soprannome di Begemot, il gatto diabolico che nel romanzo “Maestro e Margherita” di Michail Bulgakov inonda la platea di rubli falsi nello spettacolo inscenato al Teatro di Varietà di Mosca da Woland-Lucifero per smascherare le ipocrisie della burocrazia comunista sovietica – le collezioni di credenziali rubate di diversi service provider quali mail.ru e google.com, di numerosi siti e alcuni server, gli indirizzi dei portafogli bitcoin utilizzati dalla gang. Questi ultimi, in particolare, hanno permesso di scoprire che in oltre 5 anni, sono stati ricevuti 65.498 bitcoin, corrispondenti al cambio attuale a oltre 2,4 miliardi di dollari.
Sono inoltre emerse diverse allusioni ad una probabile collaborazione con l’FSB, in particolare per il caso Navalny, così come risultano evidenti possibili collegamenti alla cyber gang Ryuk.
“Il fatto che ci deve maggiormente preoccupare – osserva concludendo Iezzi – è che Conti Team non sembri affatto preoccupata dell’accaduto: il suo sito di pagamenti e di supporto è infatti ancora attivo. Questa cybergang ha dato prova senza ombra di dubbio di una considerevole resilienza, dimostrandosi capace di rilanciare la sua infrastruttura e rimanere operativa anche dopo un simile attacco. Segno che può fare molto male a chi colpisce: un monito severo per tutti gli operatori pubblici e privati a non abbassare la guardia”.
L’analisi completa è disponibile sul sito di Swascan all’indirizzo https://www.swascan.com/it/conti-leaks/
Seguici su Facebook https://www.facebook.com/presskit.it
Seguici su Telegram https://t.me/presskit
