Group-IB racconta Conti: una gang ransomware di successo

Come nelle aziende IT legittime, Conti ha un reparto per la gestione del personale, di Ricerca e Sviluppo e di Open Source Intelligence.

ransomware

Group-IB pubblica le analisi su ARMattack, una campagna sviluppata dalla gang del ransomware Conti. Oltre 859 vittime in due anni, di cui 25 italiane.

In poco più di un mese, la nota banda di cybercriminali ha colpito oltre 40 aziende in tutto il mondo; l’attacco più rapido ha richiesto solo tre giorni. Conti è considerata una delle gang del ransomware di maggior successo. L’esistenza dell’organizzazione è stata rilevata per la prima volta nel febbraio 2020, quando file nocivi con estensione “.conti” sono finiti sotto i riflettori dei ricercatori di Group-IB. Le prime versioni beta del malware risalgono tuttavia al novembre 2019.

Conti e i suoi affiliati attaccano spesso e rapidamente. Gli esperti di Group-IB hanno analizzato una delle campagne più veloci e fruttuose del gruppo, denominata in codice “ARMattack”. La campagna è durata solo un mese (dal 17 novembre al 20 dicembre 2021), ma si è rivelata estremamente efficace, compromettendo oltre 40 organizzazioni in tutto il mondo.

Modalità di attacco

La maggior parte degli attacchi è stata condotta negli Stati Uniti (37%), ma anche l’Europa ne è stata interessata, con vittime in Germania (3%), Svizzera (2%), Paesi Bassi, Spagna, Francia, Repubblica Ceca, Svezia e Danimarca (1% ciascuno). Il gruppo ha attaccato anche organizzazioni negli Emirati Arabi Uniti (2%) e in India (1%).

I cinque settori storicamente presi di mira più di frequente da Conti sono quello manifatturiero (14%), immobiliare (11,1%), logistico (8,2%), dei servizi professionali (7,1%) e commerciale (5,5%).

Dopo aver ottenuto l’accesso all’infrastruttura di un’azienda, gli attori della minaccia esfiltrano documenti specifici (il più delle volte per determinare con quale organizzazione hanno a che fare) e cercano file contenenti password (sia in chiaro che criptate). Infine, dopo aver ottenuto i privilegi necessari e l’accesso a tutti i dispositivi di loro interesse, gli hacker vi installano il ransomware e lo eseguono.

Secondo il Group-IB Threat Intelligence Team, l’attacco più veloce della banda è stato portato a termine in tre giorni esatti, dall’accesso iniziale alla crittografia dei dati. Group-IB ha anche analizzato per la prima volta gli “orari di lavoro” di Conti, rilevando che, molto probabilmente, i membri del gruppo sono collocati in regioni con fusi orari diversi.

La zona geografica degli attacchi di Conti è vasta, ma non comprende la Russia.

Un’altra ragione per non prendere di mira le aziende russe è che i principali membri di Conti si definiscono “patrioti”. Questo fatto è stato la causa di un “conflitto interno” al gruppo nel febbraio 2022, che ha portato alla divulgazione online di alcune informazioni di Conti particolarmente rilevanti. I dati pubblicati includevano chat private, elenchi dei server utilizzati e delle vittime oltre ai dettagli di portafogli Bitcoin, contenenti oltre 65.000 BTC.

Programma di incentivi

Conti ha lavorato a stretto contatto con altri operatori di ransomware come Ryuk, Netwalker, LockBit e Maze. Ha persino testato il ransomware di Maze, ne ha effettuato il reverse-engineering e ha quindi migliorato in modo significativo il proprio. Un’analisi della campagna ARMattack ha rivelato che l’arsenale del gruppo comprendeva non solo strumenti Windows precedentemente descritti, ma anche ransomware Linux: Conti e Hive.
Il gruppo tende a creare strumenti unici senza riciclare frammenti di codice. In questo modo, se messo a confronto, il codice dei loro strumenti non consente di identificare schemi comuni.

Proprio come nelle aziende IT legittime, Conti ha un reparto per la gestione del personale, di Ricerca e Sviluppo e di Open Source Intelligence (OSINT). Ci sono team leader, stipendi regolari e un programma di incentivi.
Uno dei compiti affidati dal CEO di Conti al team tecnico è stato quello di monitorare gli aggiornamenti di Windows e analizzare le modifiche apportate con le nuove patch, il che evidenzia ancora una volta la necessità di installare gli aggiornamenti il prima possibile. Inoltre, il team di Conti comprende specialisti con esperienza nella scoperta di vulnerabilità zero-day.