Un ricercatore informatico ucraino, membro infiltrato del gruppo criminale di ransomware Conti, ha deciso di prenderne le distanze esfiltrando dal gruppo stesso oltre 60.000 conversazioni private tra i membri e tra i membri e le vittime. Un leak dalle dimensioni invidiabili nella storia delle bande criminali. Un duro colpo per quella che è una tra le organizzazioni criminali più specializzate e prolifere del mondo, secondo vari studi statistici di differenti società di sicurezza informatica per l’anno 2021.
Indice degli argomenti
Il gruppo Conti subisce un data breach
La decisione presa dal ricercatore, il cui nome non è noto, è guidata proprio dalle ultime politiche sul coinvolgimento nella guerra in Ucraina del gruppo Conti, a sostegno della Russia, espresse in maniera esplicita sul proprio blog dopo la prima giornata di invasione dell’Ucraina da parte dell’esercito russo. Si precisa pertanto che il gruppo di ransomware Conti non è stato vittima di attacco esterno, ma ha subito un vero e proprio saccheggio del proprio materiale sensibile, da parte di un insider in rivolta.
Il messaggio originale, visibile in figura, è stato poi successivamente ridimensionato, dichiarando che il gruppo ripudia la guerra e offre il proprio sostegno in caso di risposta ad attacchi rivolti verso istituzioni strategiche russe.
Rubati i dati da un server di logging Jabber (servizio chat dedicato proprio all’interscambio di messaggi istantanei), questi sono stati esposti tramite il gruppo di ricerca specializzato in malware VX-Underground, che ne ha condiviso subito pubblicamente una copia (ora disponibile per la consultazione sul loro sito).
Cosa è stato rubato nell’attacco
Nel contenuto del data leak troviamo un totale di 60.694 messaggi, dal 21 gennaio 2021 suddivisi in 393 file JSON. Appunto provenienti da un server di log Jabber che venivano conservate in un formato non crittografato. Inoltre sono ora esposti 239 indirizzi Bitcoin con all’interno circa 13 milioni di dollari di pagamenti, indirizzi IP, pannelli di controllo e altri dati utili a dettagliare l’infrastruttura della banda criminale Conti.
L’importanza di questi dati è notevole per ricercatori e professionisti della sicurezza informatica, sicuramente un grande aiuto per continuare a studiare e tracciare il modus operandi di questa, ormai tristemente nota cyber gang.
Il gruppo ransomware Conti è in pericolo?
Sebbene gli snippet condivisi rappresentino solo una piccola parte delle chat rubate, nelle settimane successive verranno raccolte molte più informazioni dall’interpretazione di questi dati.
A seguito dell’invasione russa dell’Ucraina, hacker, bande di ransomware e ricercatori di sicurezza hanno iniziato a schierarsi nel conflitto. Mentre alcune bande di ransomware hanno scelto di supportare la Russia, altre, come LockBit sono rimaste neutrali, volendo prediligere unicamente gli affari e i guadagni economici, allo schieramento politico.
Va detto, però, che per quanto possa rappresentare un duro colpo per l’unione della banda e la crisi interna generata, l’incidente subito da Conti produrrà sicuramente effetti di abbastanza breve termine. Questo leak infatti ne espone le parti più intime e segrete, ma un’organizzazione di questa portata non viene minata da una simile operazione e sarà, purtroppo, capace di riunire le proprie forze e continuare l’attività regolarmente. Anche alla luce dell’ultima acquisizione di BazarBackdoor, tutto fa pensare che il crimine non si arresterà così.
