La guerra in Ucraina ha fatto emergere il modus operandi di quello che può essere definito come uno dei più grandi e pericolosi gruppi di cybercrime organizzati al mondo: il 24 febbraio, infatti, il team Conti ha offerto il suo pieno sostegno al Governo russo, a poche ore dall’invasione.
Proprio a seguito di questa decisione, un esperto d’informatica anonimo dell’Ucraina ha deciso di fronteggiare il gruppo Conti, riuscendo a infiltrare i server del gruppo hacker e ottenendo l’accesso ai loro dati riservati e alle loro chat interne.
La Russia non è una super potenza della cyber: ecco le prove
Indice degli argomenti
Il gruppo Conti e i legami con l’intelligence russa
L’obiettivo del ricercatore era esporre e inviare i documenti rilevanti ai professionisti di cyber security occidentali, come ha dichiarato su un post pubblicato dal suo profilo Twitter denominato @ContiLeaks.
I dati diffusi finora sono composti da materiale appartenente ai membri di Conti, tra cui più di 60mila messaggi prelevati dai registri delle chat private a partire da giugno 2020. I ricercatori e gli ufficiali statunitensi hanno riportato che le conversazioni interne al gruppo rappresentano la visione più completa delle operazioni condotte dai criminali di TrickBot.
Grazie ai messaggi trapelati tra i capi del gruppo e i partner di TrickBot, è emersa la presenza di un possibile legame con le agenzie di intelligence russe.
È stato così possibile comprendere maggiormente la natura del gruppo, caratterizzato da una forte resilienza organizzativa, che gli ha permesso di riprendersi a seguito dei contrattacchi portati avanti attraverso la cooperazione delle forze dell’ordine internazionali.
Inoltre, il sostegno alle azioni di Mosca è una costante per la maggior parte dei membri appartenenti al gruppo Conti. In particolare, in una delle conversazioni pubblicate, gli hacker hanno manifestato la loro volontà di sottrarre file appartenenti ai giornalisti di Bellingcat, per via delle loro indagini sull’avvelenamento di Alexei Navalny.
Perché la gang ransomware Conti si schiera con Putin: come cambia il cyber crime
Le gerarchie e il modus operandi del gruppo Conti
Tra le rivelazioni sono presenti anche informazioni in merito alla natura del gruppo:
- la gerarchia affaristica;
- le personalità dei suoi membri;
- i metodi per evitare le forze dell’ordine;
- dettagli delle trattative sui ransomware.
L’organizzazione ha diversi dipartimenti, dalle risorse umane all’amministrazione, dai programmatori ai ricercatori, e condivide politiche che guidano i cybercriminali nell’elaborazione di un “codice di condotta”.
Al vertice dell’azienda c’è Stern, conosciuto anche come Demon, il quale agisce come Amministratore Delegato del gruppo che i membri di Conti chiamano il “Grande Capo”. Tutti gli associati usano uno pseudonimo come nome utente, che può cambiare di volta in volta. Gli stipendi medi si aggirano intorno ai millecinquecento e i duemila dollari al mese per i programmatori, mentre i membri che negoziano il pagamento dei riscatti possono ottenere una parte dei profitti.
All’interno della struttura organizzativa di Conti c’è anche un team dedicato all’Open Source Intelligence (OSINT), che effettua ricerche per prevenire potenziali minacce.
Il gruppo ha cercato di acquistare da imprese di sicurezza sistemi antivirus su cui testare il proprio malware, creando appositamente aziende false. Fanno anche circolare video di YouTube sulle ultime ricerche in tema di sicurezza informatica, osservando ciò che i ricercatori dicono sul loro conto e condividendo gli articoli che parlano del gruppo.
Le strategie di attacco dei cyberactivist
Le strategie di attacco sono quelle più comuni: mail di phishing e applicazioni non protette o non aggiornate. La tecnica più usata sembrerebbe però quella della doppia estorsione. Si tratta di una modalità di cifratura file seguita dalla richiesta di riscatto con annessa minaccia in caso di mancato pagamento. Anche se la maggior parte delle chat trapelate è rappresentata da messaggi diretti inviati tramite Jabber, il gruppo coordina gli attacchi utilizzando Rocket.Chat, una piattaforma simile a Slack che può essere facilmente criptata.
Nel panorama dei gruppi hacker presenti in rete, Conti rappresenta uno dei più attivi nel campo dei ransomware. In seguito alla sua apparizione nel 2020, nel 2021 l’organizzazione ha estorto circa 180 milioni di dollari alle sue vittime, superando di gran lunga i guadagni di tutte le altre associazioni concorrenti.
Conti ha rivendicato 147 attacchi in Europa, il maggior numero di violazioni tra i gruppi di cybercriminali. In Italia, alcuni dei suoi colpi più importanti sono stati gli attacchi contro il produttore di patatine San Carlo e l’azienda di giocattoli Clementoni.
Negli Stati Uniti, secondo l’FBI, lo scorso anno il gruppo ha effettuato almeno 16 attacchi contro le reti sanitarie e di primo soccorso, comprese le forze dell’ordine, i servizi medici di emergenza e le centraline del 911.
Il partner TrickBot
Una settimana dopo la pubblicazione su Twitter dei log delle chat appartenenti al gruppo Conti, anche TrickBot è stato colpito da una fuoriuscita di dati sensibili. Già nel 2020, c’era stato un leak grazie al quale i ricercatori di cybersecurity degli Stati Uniti hanno scoperto numerose parti di un piano per attaccare più di 400 ospedali del paese durante la pandemia di Covid-19.
La scoperta preventiva dei messaggi ha permesso alle autorità di avvisare gli ospedali prima che gli hacker riuscissero ad installare i ransomware.
TrickBot è un famoso trojan bancario presente da ottobre 2016, aggiornato costantemente dai suoi autori attraverso la realizzazione di nuove funzionalità, tra le quali potenti capacità di rubare password. Inizialmente, TrickBot era partner del ransomware Ryuk.
In seguito, nel febbraio 2022, secondo alcuni esperti di cyber threat intelligence, il malware TrickBot ha terminato la sua attività con Ryuk, dopo essere stato acquisito dal gruppo ransomware Conti. Nel 2021, il gruppo Conti aveva l’esclusiva di TrickBot, utilizzandolo per ottenere un primo accesso alle reti di diverse organizzazioni internazionali.
Tuttavia, con la crescente diffusione di TrickBot, quest’ultimo è diventato facile da rilevare con soluzioni implementate dagli antimalware. Per questo motivo, gli hacker di Conti hanno deciso di sostituire TrickBot con un trojan bancario diverso (sempre creato dagli stessi sviluppatori di TrickBot), conosciuto come BazarBackdoor.
Trickbot, così i cyber criminali filorussi hanno messo gli ospedali USA nel mirino
Conclusioni
Nonostante la condivisione delle chat rubate abbia rappresentato un duro colpo per il gruppo hacker, l’incidente potrebbe non essere sufficiente a indebolire i cybercriminali nel lungo termine.
Alcuni esperti di cyber sicurezza, infatti, hanno dichiarato che gli hacker di TrickBot stiano lavorando per migliorare le loro tattiche e per sviluppare codici più complessi.
Inoltre, la Russia ha negato ogni accusa da parte degli Stati Uniti circa il suo coinvolgimento nelle attività di cyber crimine.
Per quanto riguarda il gruppo Conti, al momento, la minaccia più grande potrebbe provenire dalle stesse autorità russe. Infatti, queste ultime, qualora l’organizzazione malevola non fosse più utile ai loro interessi, sarebbero in grado di intraprendere azioni contro di essa, come già accaduto con il gruppo REvil.
