Ransomware Conti: saperne di più sul gruppo hacker

Il gruppo Ransomware Conti: un’organizzazione criminale che fa della progettazione ransomware il proprio pane quotidiano e ha tenuto banco negli ultimi anni. Almeno fino al contrattacco che li ha smascherati.

Provate ad immaginare quante milioni di e-mail ogni giorno circolano sui nostri dispositivi, spesso per scambiare informazioni, file, o semplicemente mandare un messaggio.

Alcune di questi messaggi di posta elettronica, però, possono rivelarsi pericolosi e potenzialmente dannosi per la nostra sicurezza IT.

Riconoscerle non è così semplice: spesso, infatti, per non destare sospetti, vengono camuffate da innocue e-mail commerciali di aziende o istituzioni note.

Gli stessi messaggi di posta sono spesso convincenti e possono contenere allegati – che passano indisturbati anche all’attenta analisi di un sistema di controllo antivirus – oppure link che in realtà conducono ad un sito web di phishing.

Il rischio concreto è che, attraverso questo sistema, gruppi di malintenzionati provino e riescano nell’intento di entrare nei nostri dispositivi ed appropriarsi dei nostri dati.

Questa è infatti la mission di molti gruppi hacker, tra cui proprio il cosiddetto gruppo Ransomware Conti.

Andiamo con ordine, fino a qui abbiamo detto che potrebbe esserci la possibilità di ricevere e-mail considerate pericolose, contenenti allegati potenzialmente dannosi.

I malware che vi si celano all’interno, spesso e volentieri, vengono chiamati in gergo informatico ransomware.

Ma che cos’è un ransomware?
Da dove nasce?

Il ransomware è un software di natura malevola che infetta un qualsiasi tipologia di device bloccando l’accesso a tutti o ad alcuni file.
Lo scopo è spesso quello di chiedere alla vittima il pagamento di un riscatto (“ransom”) affinché i file sottratti possano essere restituiti e dunque, resi nuovamente accessibili.

In genere, i riscatti ransomware richiedono metodi di pagamento in criptovalute.

Dopo essere stato contagiato dal malware (detto anche cryptovirus) tutti i dati, le foto, i filmati e ogni genere di file presente sul disposiivo della vittima vengono resi inaccessibili tramite complessi algoritmi di cifratura.

Al pagamento del riscatto, nella migliore delle ipotesi, i criminali sbloccano la protezione dai documenti e disattivano l’azione del software malevolo, anche se non è sempre detto che questo accada. Spesso, nonostante il pagamento, l’hacker potrebbe non rendere disponibile l’accesso ai file.

Come evidenziato precedentemente, l’e-mail infetta da ransomware potrebbe contenere al suo interno un:

• allegato
• link

che, accompagnati da una grafica e un messaggio accattivante (spesso sotto forma di un’offerta in scadenza o simili) trasmettono un “senso di urgenza”  nell’utente. spingendolo subdolamente ad aprire il contenuto.
Se l’utente si lascia trascinare dalle richieste contenute nell’e-mail e segue le istruzioni indicate, il ransomware può finalmente iniziare ad operare.

Solitamente, i mittenti di ransomware e-mail si nascondono dietro l’identità di soggetti conosciuti e considerati affidabili, come ad esempio:

• distributori di servizi,
• corrieri,
• aziende di servizi,
• ma anche Istituzioni e Pubblica amministrazione.

Dobbiamo tenere a mente che ogni dispositivo infetto da ransomware ne può contagiare altri comportandosi come un vero e proprio virus biologico.

I metodi possono essere svariati, tra cui:

• la sincronizzazione tra dispositivi

• sistemi di condivisione in cloud

• attraverso la rubrica dei contatti, che può essere utilizzata per spedire automaticamente ad altre persone messaggi contenenti link e allegati su cui viaggia il ransomware

• collegamenti diretti su siti web compromessi

• installando software e/o app offerti gratuitamente per spingere l’utente al download e penetrare così nel dispositivo.

Date queste premesse, possiamo finalmente conoscere il ransomware che sta attaccando le aziende e le infrastrutture italiane da mesi e che è protagonista dei casi più eclatanti di ransomware attack. Parliamo del gruppo ransomware Conti che nel 2021 ha colpito infrastrutture tra cui San Carlo e il Comune di Torino.

Il gruppo Conti sembra ad essere, ad oggi, tra le più attive gang di creatori di ransomware.

Le origini di ransomware Conti risalgono a luglio 2020, momento in cui un gruppo di ricercatori in ambito cyber security aveva concentrato tutti gli sforzi sulla creazione di una nuova variante ransomware, denominata appunto Conti.
Dal 2020 ad oggi, oltre 30 aziende italiane (note) hanno denunciato la presenza dell’infezione ransomware Conti a danno delle loro infrastrutture.

I settori di appartenenza delle organizzazioni colpite dall’infezione Conti sono diversi: produttivi, alimentari e servizi professionali.

Il suo codice di base si ipotizza che possa basarsi su quello di Ryuk (uno tra i virus più potenti e pericolosi in circolazione).

A distanza di poco tempo questa organizzazione di criminali informatici ha dimostrato una capacità di adattamento non comune e non facile da osservare in circostanze simili.

Conti utilizza diversi veicoli per colpire il suo target:

•  dallo spear phishing (truffa tramite comunicazione elettronica o e-mail)
• al Cobalt Strike, considerato la prima difesa contro la penetrazione informatica. Il suo utilizzo è ormai una costante nel mondo della criminalità informatica organizzata.

Il gruppo Conti ad oggi risulta fortemente gerarchico e coeso. Si registra una notevole sinergia tra i suoi collaboratori, in tutti i suoi livelli. Non a caso si riscontrano attacchi informatici in tutto il mondo: indice della loro indiscussa capillarità e coesione.

In Italia tra le ultime vittime si annoverano:

• l’azienda San Carlo
• il Comune di Torino
• la Omicron Consulting, leader nella consulenza digitale

Il gruppo ransomware Conti, attraverso la sua rete globale, ha estorto alle sue vittime solo nell’anno 2021 l’equivalente di 180 milioni di dollari, mettendo così le distanze da qualsiasi altro gruppo ransomware criminale.

Tendenzialmente, il gruppo di criminali informatici che tira le fila dell’iniziativa Conti ransomware ha generato un vero e proprio business attraverso il servizio RaaS ovvero la concessione del ransomware as a service.

Una vera e propria organizzazione criminale composta da oltre 100 affiliati che studia e mette a punto, adattandosi anche alla direzione del mercato dell’hacking, soluzioni di hacking a service: servizi di black hat a noleggio.

Come molti altri gruppo, ransomware Conti ricorre sempre più al meccanismo della doppia estorsione.
Ovvero, una volta che il ransomware si trova all’interno dell’organizzazione e ha dato il via al meccanismo di criptazione dei dati, nella richiesta di riscatto la vittima viene minacciata due volte: prima attraverso la richiesta di un pagamento in Bitcoin, successivamente il gruppo minaccia l’infrastruttura di diffondere pubblicamente le informazioni sottratte se non riceverà l’importo richiesto.

Questa una delle caratteristiche che rendono le infezioni ransomware Conti le più temibili.

Inoltre, il team di attaccanti Conti si distingue fra molte altre gang di cyber criminali poiché tutti gli attacchi che provengono dalle loro fila sono human operated: poca automatizzazione tanta manodopera in real time.

Al fine di riuscire nell’intento di penetrare l’infrastruttura, ransomware Conti è in grado di sfruttare diversi escamotage per accedere ai sistemi informatici: vulnerabilità zero-day, vecchie falle di sistema non ancora patchate, porte RDP aperte. ù

Ogni genere di debolezza strutturale è utile alla minaccia.

Di recente sembra che i fondatori del gruppo Conti, prevalentemente russi, sembra che abbiano pubblicamente comunicato di appoggiare l’invasione russa in territorio ucraino, creando al suo interno delle divisioni e dei tumulti.

La comunicazione è stata fatta tramite i canali ufficiali dell’organizzazione anche se, in secondo momento, il Gruppo Conti ha cercato di ritirare le dichiarazioni fatte. Alcun componenti del Gruppo ransomware Conti, evidentemente contrari alla presa di posizione del gruppo hanno pubblicato oltre 60 mila messaggi scambiati tra membri.

La talpa è riuscita a rivelare l’intero mondo che si cela dietro il gruppo di ransomware Conti.

Ne è emersa una struttura alquanto gerarchizzata che, al pari di molte aziende comuni, constava di:

• un capo, con incarichi da amministratore delegato
• un direttore generale
• e persino un team principale formato da circa sessanta membri.

Sono emersi ulteriori dettagli in merito:

• ai mezzi utilizzati,
• al target di utenti da colpire,
• agli stipendi
• alle cifre estorte
• ma anche tutte le dinamiche aziendali, quali i dissapori tra colleghi e le personalità dei propri membri.

La portata di questo contrattacco è sicuramente senza precedenti, poiché l’attività di un gruppo informatico criminale non era mai stata portata agli occhi di tutti in modo così chiaro.

Siamo dunque di fronte alla fine del gruppo ransomware Conti?
No, Conti non è scomparso. Al contrario, la cybergang continua ad operare.

È vero: l’intera struttura ha risentito del leak e questo attacco avrà sicuramente delle conseguenze. D’altra parte, però, ciò che non uccide fortifica.

Il gruppo, infatti, sembra non essersi dissolto del tutto. Pare, invece, pronto a riorganizzarsi e tornare all’attacco più forte e agguerrito di prima.
Pertanto bisognerà alzare sempre più la guardia e sperare che le previsioni di una sua rinascita non risultino fondate.