Home Notizie recenti I segreti della banda di ransomware sono stati svelati dopo aver annunciato...

I segreti della banda di ransomware sono stati svelati dopo aver annunciato il sostegno alla Russia

43
0

Credito: CC0 Pubblico Dominio

A febbraio Il 25, un famigerato gruppo di ransomware noto come Conti ha espresso sostegno alla Russia mentre il paese ha invaso l’Ucraina. Si è rivelata una cattiva idea: giorni dopo, è trapelato un enorme tesoro dei segreti della banda.

I dati contengono dettagli su specifiche campagne di hacking, portafogli Bitcoin utilizzati dalla banda e riflessioni sul futuro della criptovaluta come strumento di riciclaggio di denaro. In un messaggio di chat, un membro di Conti ha espresso rabbia per il fatto che qualcuno associato al loro gruppo avesse preso di mira un sito Web all’interno della Russia (“Tali teste di cazzo”, questa persona chiamava colleghi). Un altro descriveva in dettaglio un tentativo di hackeraggio su un collaboratore di una testata di giornalismo investigativo che indagava sul sospetto avvelenamento di un importante critico del Cremlino (“Fratello non dimenticarti di Navalny”).

I file rivelavano anche l’equivalente del crimine organizzato dei segreti proprietari: dettagli sull’uso da parte della banda di specifici strumenti malware e approfondimenti sulle loro tecniche di negoziazione. Nel complesso, hanno detto gli esperti a Bloomberg News, la fuga di notizie di Conti potrebbe aver fatto di più per esporre i suoi membri e minarne i metodi rispetto alle indagini delle forze dell’ordine e delle società di sicurezza. I file espongono la struttura organizzativa del gruppo e indizi sulle tecniche utilizzate per stare al passo con la polizia, che rappresenta un’intelligenza preziosa.

Sebbene le conversazioni e le negoziazioni con gli hacker siano trapelate in precedenza, pochi hanno eguagliato le dimensioni e i dettagli di Conti. Offre uno sguardo dietro le quinte senza precedenti su un gruppo che ha utilizzato allegati di posta elettronica fasulli, password rubate e telefonate per rubare più di 200 milioni di dollari dalle sue vittime l’anno scorso, ha detto a Bloomberg News la società di monitoraggio delle criptovalute Chainalysis Inc..

Diversi esperti di sicurezza hanno confermato che il tesoro era legittimo. Hanno offerto diverse teorie su come i file di Conti sono stati resi pubblici, con alcuni che hanno suggerito una fuga di notizie da parte di un membro ucraino della banda o forse un ricercatore con accesso interno. Conti è sia un tipo di ransomware che il nome del gruppo dietro di esso. È stato osservato per la prima volta nel 2020 e utilizza il modello “ransomware-as-a-service” in cui nuovi gruppi di hacker affittano software dannoso ad “affiliati” in cambio di una riduzione dei proventi. È noto per la sua spietatezza, prendendo di mira gli ospedali durante l’epidemia di COVID-19 e paralizzando il sistema sanitario irlandese lo scorso anno.

Il gruppo di hacker ha utilizzato società di facciata per contattare i rappresentanti di vendita dei legittimi fornitori di sicurezza Sophos e Carbon Black per ottenere campioni di offerte di software antivirus, come mostrano i documenti. Testando il malware contro strumenti di sicurezza ampiamente utilizzati, Conti potrebbe trovare punti deboli nella tecnologia per aggirare i prodotti informatici popolari, ha affermato Dave Kennedy, co-fondatore della società di sicurezza TrustedSec, che segue Conti da anni.

“Abbiamo trascorso innumerevoli ore a ricercare questo gruppo e da dove vengono”, ha detto. “Questa perdita fornisce molti dati su come gestiscono le operazioni, quindi possiamo migliorare le nostre difese e capire come funzionerebbero. È davvero fantastico”. Gli obiettivi erano spesso piccole e medie imprese o organizzazioni nei paesi in via di sviluppo, ha affermato. In risposta a una richiesta di commento, un rappresentante di Sophos ha affermato in un’e-mail che l’azienda aveva segnalato l’account Conti come sospetto quando gli hacker hanno tentato l’acquisto Sophos software e il gruppo ha abbandonato la transazione. Carbon Black non ha risposto a una richiesta di commento.

I registri mostrano anche come Conti e le sue affiliate si infiltrano in più aziende ogni settimana, scambiando idee sui migliori trucchi per convincere le vittime a pagare. In una conversazione trapelata, gli hacker hanno discusso se inviare a una vittima di un ransomware un campione di dati rubati per dimostrare di aver violato l’azienda. Altre volte hanno discusso della probabilità che una vittima sia in grado di scaricare dati crittografati dal cloud, eliminando l’incentivo a pagare un riscatto.

Un hacker, chiamato Professor, ha detto ai soci che non voleva far trapelare i dati di una piccola azienda californiana specializzata in contratti di lavoro agricolo perché non sarebbe stato realistico raccogliere e pubblicare le informazioni dell’azienda a causa di problemi con la rete della vittima. La società alla fine non ha pagato il riscatto, optando invece per ripristinare i propri dati da un backup recente. “Semplicemente non volevamo pagare i criminali”, ha affermato Luis Romero, un responsabile dell’ufficio di Hall Ag Enterprises, che ha chiuso per un giorno nell’ottobre 2020 dopo che Conti ha chiesto $ 700.000, una commissione che secondo lui la società non poteva permettersi.

Nel giro di due giorni, Conti è andato avanti, puntando gli occhi su Angelica Corp., un’azienda di prodotti sanitari con sede nell’Illinois. Secondo i documenti, gli hacker hanno raccolto informazioni sui contratti, proiezioni aziendali e dati personali e li hanno utilizzati per cercare di intimidire la vittima affinché pagasse. Angelica non ha risposto a una richiesta di commento.

Altre aziende americane come Shook Construction, broker logistico Western Overseas Corp. e un produttore chiamato Varroc Lighting Systems Inc. erano tutti nel mirino, secondo i registri delle chat. Le tre società non hanno risposto alle richieste di commento.

Bloomberg News ha trovato diverse dozzine di portafogli di criptovaluta tra i registri delle chat, per un totale di oltre 12 milioni di dollari a mercoledì, una cifra che varia con il valore di Bitcoin. I membri della gang hanno utilizzato i portafogli inclusi nei registri della chat per reinvestire nella loro infrastruttura tecnica, pagare i clienti affiliati e inviare Bitcoin ad altri operatori di malware, come gli sviluppatori dello strumento per i crimini finanziari TrickBot, ha affermato Jackie Koven, responsabile dell’intelligence sulle minacce informatiche di Chainalysis.

“Possiamo vedere da questa fuga di notizie che Conti è composto da varie bande e gruppi, ma stanno anche operando in modo in qualche modo autonomo”, ha detto.

Avevano anche obiettivi politici, secondo quanto riferito, inseguivano un collaboratore del gruppo di giornalismo investigativo Bellingcat per aver indagato sul presunto avvelenamento del critico del Cremlino Alexey Navalny.

Il direttore esecutivo di Bellingcat Christo Grozev ha confermato su Twitter che un collaboratore era stato preso di mira in quel momento.

Come alcune altre bande di ransomware, Conti sembra evitare gli obiettivi russi. Le chat indicano che un middle manager di nome Troy ha posto fine a uno di questi tentativi di attacco. “Non questo. Rimuoverlo”, ha scritto Troy. “Dovrebbero essere picchiati per una cosa del genere. E se non me ne fossi accorto? Allora saremmo stati fottuti.”

I ricercatori sulla sicurezza informatica hanno affermato che il ritiro è un’ulteriore prova della tacita approvazione che la Russia concede a determinati criminali informatici, purché non attacchino entità all’interno dei suoi confini.

I sospetti legami tra l’intelligence russa e i criminali informatici sono stati resi pubblici in precedenza. Il Dipartimento del Tesoro degli Stati Uniti nel 2019 ha accusato il presunto leader del gruppo di hacker Evil Corp., Maksim Yakubets, di aver fornito “assistenza diretta” agli sforzi informatici sponsorizzati dal Cremlino. I pubblici ministeri hanno anche accusato un certo numero di presunti hacker russi di aver collaborato con il Servizio di sicurezza federale, o FSB, a partire dal 2012.

Un portavoce dell’ambasciata russa a Washington non ha risposto a un’inchiesta in cerca di commenti. La Russia ha precedentemente negato di aver intrapreso attacchi informatici dannosi.

“Con questo particolare gruppo, sembra che abbiano avuto una relazione con un gruppo governativo russo”, ha affermato John Fokker, capo delle indagini informatiche presso la società di sicurezza Trellix ed ex membro di un’unità di polizia olandese che indaga sugli hacker avanzati. “Quando vedi conversazioni del tipo ‘Non dovremmo colpire questa organizzazione perché saremo fregati’, non è il genere di cose che vedi spesso in chat come questa”.


©2022 Bloomberg LP Visita bloomberg.com. Distribuito da Tribune Content Agency, LLC.

Articolo precedenteConstellation Energy stringe una partnership con Microsoft per aiutare le aziende a monitorare l’uso di energia pulita
Articolo successivoBiden ripristina il potere della California di stabilire regole sulle emissioni delle auto