Il ransomware Conti è protagonista degli attacchi più spietati. Palo Alto testimonia che in un anno ha colpito organizzazioni come ospedali e forze di polizia. Inoltre Conti si distingue anche per la sua inaffidabilità. Molte vittime sono state imbrogliate e, nonostante il pagamento del riscatto, non hanno recuperato i propri dati. L’FBI ha collegato Conti a più di 400 attacchi IT contro organizzazioni in tutto il mondo. Le richieste di riscatto fino a 25 milioni di dollari fanno di Conti uno dei gruppi più interessati al guadagno.
Palo Alto, lo spietato ransomware Conti
Palo Alto ha seguito Conti per oltre un anno per aiutare le aziende a contrastare i suoi attacchi. Sembra essere uno dei tanti gruppi di criminali che ha sfruttato il fiorente ecosistema del ransomware-as-a-service (RaaS). Lo ha fatto acquistando un accesso alle reti delle loro vittime da altri autori di minacce e procurandosi infrastrutture, malware, strumenti di comunicazione e riciclaggio di denaro da altri fornitori RaaS. La maggior parte utilizza gli stessi metodi di accesso comuni a molti attacchi ransomware.
Ad esempio e-mail di phishing, sfruttamento di applicazioni non protette esposte su Internet, mancanza di autenticazione a più fattori (MFA). Così come i tipici percorsi utilizzati per conservare e migliorare l’accesso, ad esempio attraverso l’uso di Cobalt Strike o PowerShell. Questi approcci non sono particolarmente intelligenti o sofisticati, ma sono spesso efficaci. La metodologia di Conti segue di frequente l’approccio della “doppia estorsione”. Gli attaccanti non solo bloccano i file della vittima e chiedono il riscatto, ma se ne impossessano. Minacciando di pubblicarli sul web o di diffonderli in altro modo se la loro richiesta non viene soddisfatta.
I metodi di Conti hanno elementi atipici
Di solito, chi opera con successo con i ransomware compie molti sforzi per stabilire e mantenere una qualche parvenza di “integrità”. Questo per facilitare il pagamento del riscatto da parte delle vittime. Vogliono stabilire una reputazione per il “servizio clienti” e mantenere ciò che promettono. Cioè se si paga un riscatto, i file saranno decifrati (e non appariranno su un sito di data leak). Ma nella nostra esperienza Conti non ha dimostrato alcuna integrità. Come molti gruppi, Conti si adatta costantemente ai cambiamenti, compreso il recente aumento del controllo da parte delle forze dell’ordine.
Da Palo Alto, attenzione al ransomware Conti
Quando il sistema sanitario irlandese si è rifiutato di pagare un riscatto, Conti ha fornito quella che affermava essere una chiave di decrittografia gratuita. Ma c’è stato un colpo di scena. Il gruppo ha dichiarato che avrebbe proseguito con la “doppia estorsione” al fine di pubblicare i dati rubati sul suo sito di data leak. Sfortunatamente, preservare le reti da Conti non è semplice. Uno dei vettori di infezione principali sono le truffe phishing, con gli attaccanti che migliorano costantemente le loro tecniche.
Gli attacchi ransomware sono sempre più sofisticati
In precedenza le e-mail di phishing erano abbastanza semplici da individuare per chiunque. Oggi invece stiamo assistendo ad attacchi sempre più sofisticati in cui gli autori ’conoscono’ le vittime. Gli attacchi ransomware sono sempre più facili da distribuire e le ricompense per i criminali continuano ad aumentare. Di conseguenza, resta un settore in crescita che attirerà moltitudini di nuovi professionisti, ed è probabile che continueranno a essere colpiti obiettivi di alto profilo.
