La guerra

Perché la gang ransomware Conti si è schierata con la Russia

Perché la gang ransomware Conti si è schierata con la Russia
I cybercriminali russofoni responsabili di numerosi attacchi informatici verso le piccole e medie aziende italiane, ma anche verso la San Carlo e la Clementoni Giochi, avrebbero stretti legami coi servizi di intelligence del Cremlino
3 minuti di lettura

Anche i cybercriminali litigano fra di loro. Ed è solo uno degli effetti che l’aggressione della Russia verso l’Ucraina ha scatenato, trasformandola nel primo conflitto real time sul web combattuto con cyber-katiuscia informatici e propaganda computazionale.

Un membro ucraino del gruppo ransomware Conti, una gang di criminali responsabili del furto dei dati alle aziende italiane San Carlo, Artsana e Clementoni, ha fatto trapelare le chat interne della gang dopo che i leader del gruppo hanno pubblicato un messaggio filo-russo sul loro blog nel Darkweb all'indomani dell'invasione russa dell'Ucraina. "Il gruppo Conti annuncia ufficialmente il pieno sostegno al governo russo. Se qualcuno deciderà di organizzare un attacco informatico o qualsiasi attività bellica contro la Russia, utilizzeremo tutte le risorse possibili per contrattaccare le infrastrutture critiche dei nemici” recitava il messaggio.

Irritato per l’accaduto il ribelle del gruppo avrebbe allora violato il server Jabber/Xmpp usato dalla banda per le chat protette, e contenenti le conversazioni dal 29 gennaio 2021 al 27 febbraio 2022. Tra queste ci sono messaggi che mostrano la relazione di Conti con i gruppi di malware TrickBot ed Emotet, da cui affittavano l'accesso ai computer infetti per distribuire il proprio malware, le negoziazioni di riscatto e gli indirizzi bitcoin dove la banda ha ricevuto i pagamenti. Ma sarebbero solo una piccola porzione di un insieme più ampio.

Ce lo conferma Gianfranco Tonello della padovana TG Soft: "Da questo leak il numero degli affigliati al gruppo del Conti sembrerebbe essere molto elevato, e questo spiegherebbe il numero massivo di attacchi effettuati da questo gruppo di cyber-criminali. Dall'analisi delle chat si possono estrarre molte informazioni tra cui anche nomi di vittime che molto probabilmente hanno pagato il riscatto ed effettuare la tracciatura dei wallet per i pagamenti." In seguito alla divulgazione di questi messaggi e alla presa di posizione di altri gruppi che invece hanno ribadito il loro unico interesse finanziario, Conti ha modificato il messaggio, chiarendo di “essere contro tutte le guerre”. Un altro gruppo criminale infatti, Lockbit 2.0, responsabile degli attacchi a Thalesgroup, Accenture e altri obbiettivi italiani ha fatto sapere che “Per noi sono solo affari e siamo tutti apolitici. Ci interessa solo il denaro per il nostro lavoro innocuo e utile”.

Insomma, sembrerebbe solo l’ultima puntata della prima cyberguerra aperta a cui partecipano gruppi di guerriglia attivisti come Anonymous che hanno ripetutamente attaccato siti e server russi, gruppi paramilitari vicini all’intelligence occidentale come GhostSec che hanno divulgato informazioni e credenziali di personalità russe, troll e bot che si sono aperti un varco nella propaganda del Cremlino.

I bersagli italiani di Conti Group

Conti è una delle maggiori gang del ransomware, il software che ruba e prende in ostaggio i dati dei bersagli per “liberarli” solo dopo il pagamento di un riscatto. Specializzata nella double extortion, che prevede la minaccia della pubblicazione dei dati rubati in assenza di un riscatto, prevalentemente di lingua russa, particolarmente attiva e pericolosa, la gang nei mesi scorsi ha ripetutamente attaccato l’Italia. Tra i loro ultimi bersagli piccole e medie imprese del Centro e Nord Italia come la Cantina dei colli del Soligo di Treviso, la Ciam di Assisi che si occupa di tecnologie per la refrigerazione, la Arcese Trasporti della provincia di Trento, la Comerio Ercole di Busto Arsizio, il Comune di Torino e la ditta di giochi Clementoni di Recanati, l’azienda delle patatine San Carlo, il gruppo vitivinicolo Della Toffola in Veneto, l’azienda Artsana di Grandate in Lombardia e molte altre.

Tra i bersagli più rilevanti all’estero invece Conti ha colpito la Banca indonesiana, La Vienna Insurance Group, il gruppo di costruzioni Metro a New York e il gruppo di abbigliamento Perrin sempre negli Usa. In precedenza hacker russi e ucraini avevano lavorato insieme. La comunità degli esperti non ha ancora un’opinione condivisa su quanto accaduto. Però è noto che questi gruppi criminali spesso di origine statuale come nel caso dei nordcoreani di Lazarus, agiscono grazie alla distrazione o alla complicità dei governi dei paesi da cui organizzano le proprie operazioni.

Secondo gli esperti di Analyst1 la criminalità informatica organizzata di origine russa, nonostante le incriminazioni federali degli Stati Uniti è protetta proprio dal governo russo, che non considera gli attacchi ransomware un crimine fintanto che non prendono di mira le organizzazioni russe. Analyst1 avrebbero scoperto infatti le connessioni tra gli apparati russi dell'intelligence, SVR e FSB, e i criminali che hanno compromesso organizzazioni affiliate al governo degli Stati Uniti tra ottobre e dicembre 2020 e hanno fatto una grave accusa: il Servizio di sicurezza federale russo avrebbe direttamente assunto responsabili di attacchi ransomware e altri hacker specializzati in operazioni di malware bancario trovandone una traccia in uno spyware, noto come Sidoh, che condivide il codice sorgente con Ryuk ransomware, il primo nome di Conti, usato per trovare e rubare documenti governativi/militari degli Stati Uniti e con lo scopo di attaccare le istituzioni finanziarie rubando dati Swift e Iban.

Nel loro rapporto si parla anche dei legami governativi russi di EvilCorp, apparentemente di origineucraina e che ora avrebbe preso le distanze da Conti. Secondo Emanuele De Lucia, capo ricercatore di Cluster25, “è chiaro che il conflitto fra Ucraina e Russia è destinato a rimodellare anche quelli che erano gli assetti più stabili dell'underground criminale di lingua russofona. Gruppi ed individui che prima collaboravano strettamente ora potrebbero aver cambiato ideologia”. Mentre per Tonello “Si tratta di un duro colpo per il sindacato criminale Conti e non c'è da stupirsi se prossimamente verranno re-brandizzati adottando un nome diverso”. Come si trattasse di un’azienda normale dopo un qualsiasi danno reputazionale.