Anche il mondo del cyber è stato scosso e si è schierato lungo le fratture prodotte dalla guerra iniziata in Ucraina nel 2014 e giunta proprio in questi giorni al suo massimo culmine. Già sono rimbalzate su tutti i media mondiali le iniziative di Anonymous contro la Russia (che ha lanciato la campagna #OpRussia), si è parlato anche della cyber war che la Russia ha lanciato contro l'Ucraina tramite una lunga serie di attacchi i cui strascichi sono già arrivati in Italia (parliamo del malware HermeticWiper) e si trovano anche alcuni report sulla cyber war che gli Stati Uniti hanno scatenato contro la Russia. Meno risalto ha invece avuto la frammentazione delle principali bande ransomware tra i vari schieramenti (fisicamente) in campo alle porte di Kiev. Tra tutti, si è resa molto interessante la vicenda che ha riguardato il ransomware Conti, del quale pensiamo non siano necessarie molte presentazioni. Parliamo infatti del top ransomware che, insieme a LockBit, vanta oggi il maggior volume di attacchi e di guadagni ottenuti dalle estorsioni.
Per approfondire >
- Ransomware Conti: è arrivato il successore di Ryuk?
- Cyber attacchi in Italia: anatomia del ransomware Conti
Conti si schiera con la Russia...
La faccenda inizia con un post sul sito di leak del rasomware nel quale la gang dichiara non solo pieno supporto alla Russia, ma anche che si adopererà nella cyber difesa delle infrastrutture e del cyber spazio russo.
Fonte: RedHotCyber |
Nel post si legge:
"Se qualcuno dovesse decidere di organizzare un cyber attacco o qualsiasi attività di guerra contro la Russia, siamo pronti a utilizzare tutte le nostre risorse per rispondere contrattaccando le infrastrutture critiche dell'attaccante". Insomma, c'è poco da fraintendere: il gruppo Conti si arruola nell'esercito della federazione russa.
Poche ore dopo il post viene modificato, radicalmente, nei contenuti come si può leggere sotto:
“Come risposta ai guerrafondai occidentali e alle minacce americane di voler usare la guerra cibernetica contro i cittadini della Federazione russa, il Team Conti annuncia ufficialmente che useremo la sua piena capacità di fornire misure di ritorsione nel caso in cui i guerrafondai occidentali tentino di colpire infrastrutture critiche in Russia o in qualsiasi regione del mondo di lingua russa - scrive Conti -. Non ci alleiamo con nessun governo e condanniamo la guerra in corso. Tuttavia, poiché l'Occidente è noto per condurre le sue guerre principalmente prendendo di mira i civili, useremo le nostre risorse per colpire di nuovo se il benessere e la sicurezza dei cittadini pacifici saranno in gioco a causa di aggressioni informatiche americane”.
Da quel momento il gruppo che gestisce Conti si spacca.
Un ricercatore ucraino inizia a pubblicare dati sensibili del gruppo Conti
Il 28 Febbraio su Twitter viene creato un account chiamato Conti Leaks. Sembra appartenere ad un ricercatore di sicurezza ucraino, ma le voci di una spaccatura entro il gruppo di cyber criminali si fanno sempre più forti. Molti sospettano che questo ricercatore possa essere un ex membro ucraino del gruppo che ha deciso di schierarsi sul lato opposto della barricata.
Tra i primi dati pubblicati ci sono alcuni estratti della chat interna che viene utilizzata dagli attaccanti per coordinarsi tra di loro e gestire i malware e la rete di affiliati.
Fonte: Bleeping Computer |
Gli estratti della chat mostrano i membri del gruppo che discutono tra loro dopo l'esplicito supporto espresso dal gruppo al governo russo.
La talpa di Conti mette a nudo la banda
Dal 28 Febbraio Conti Leak ha continuato a far trapelare dati sensibili tra i quali 393 file JSON contenenti più di 60.000 messaggi: questi sono presi dal serve chat provato della banda Conti, ma i leak riguardano le conversazioni interne anche del ransomware Ryuk. Vi si possono ricavare informazioni molto utili su come è organizzata la rete di affiliati, sulla sua struttura, su come sono condotti gli attacchi e anche alcuni indirizzi Bitcoin.
Fonte: Bleeping Computer |
Lunedì scorso sono stati pubblicati altri 150 file JSON contenenti oltre 100.000 messaggi interni, risalenti al Giugno 2020: in quel mese sono iniziate le operazioni di Conti.
Ma i leak non riguardano soltanto le conversazioni tra i membri del gruppo: ContiLeaks ha pubblicato il codice sorgente del pannello amministrativo del ransomware e quello dell'API BazarBackdoor, insieme ad una serie di screenshot dei server.
Il colpo grosso, davvero grosso però, è contenuto in un archivio protetto da password.
Trafugato e pubblicato il codice sorgente di Conti
L'archivio protetto da password è la vera arma che, è lecito pensare, porterà alla conclusione dell'esperienza di Conti. Questo contiene il codice sorgente dell'encryptor del ransomware, del decryptor e il builder a disposizione degli affiliati.
Fonte: ContiLeaks |
La redazione di Bleeping Computer ha commentato l'evento spiegando che se per un esperto di ingegneria inversa il codice sorgente non aggiunge ulteriori informazioni, sono utili invece le informazioni che fornisce sul funzionamento del ransomware. Informazioni che programmatori esperti di C potrebbero trovare fondamentali.
Nei prossimi giorni sarà possibile vedere se tali leak stiano davvero impattando o meno le operazioni del ransomware. Potrebbe essere, questa, una ottima notizia per le aziende italiane (Conti in Italia ha colpito aziende del calibro di San Carlo, Clementoni, Maggioli ecc...) e per quelle di tutto il mondo.
Per saperne di più > Il Ransomware Conti colpisce la San Carlo: la big delle patatine italiane dichiara che non pagherà alcun riscatto
Nessun commento:
Posta un commento