Report Difesa
Milano. Con un organico di oltre 100 persone e un salario mensile che va dai 5000 ai 10000 dollari, Conti è ad oggi la più attiva Ransomware Gang sia per la quantità di aziende colpite, sia per la sofisticazione degli attacchi. Si tratta infatti di una organizzazione ben strutturata che altrimenti non avrebbe potuto ottenere certi risultati e, soprattutto, rimanere attiva per così tanto tempo.
Normalmente, le Ransomware gang hanno la tendenza a disgregarsi per due motivi. Anzitutto, per cause interne: i componenti si spartiscono il malloppo, fanno perdere le loro tracce poi si ricongiungono sotto forme e nomi differenti. Dall’altro lato, per cause esterne come l’azione delle autorità che riesce a colpire qualche membro o, più spesso, a mettere offline le loro infrastrutture di attacco.
Tutto questo però non coincide con il caso Conti che, invece, si presenta come un’azienda stabile con a capo degli amministratori accorti che dirigono le operazioni con sapienza ed attenzione. L’analisi condotta da Cynet è stata fatta analizzando le chat diffuse del gruppo, a seguito di un loro data breach.
Le Cyber Gang costituiscono un pericolo reale per gli utenti del web
Vediamo più nel dettaglio come è composta questa gang criminale e quali sono le operazioni che svolge quotidianamente.
La struttura interna
La Cyber Gang di Conti ha in organico più di 100 persone e nel 2021 ha avuto introiti per circa 180 milioni di dollari: una media azienda di servizi con redditività piuttosto alta, tanto che paga molto bene i suoi collaboratori. Nello specifico, le risorse impiegate da Conti per svolgere le attività criminali comprendono: programmatori o coders, che ricevono un salario medio tra i 5000 e i 10000 dollari al mese, personale specializzato o testers che analizzano i sistemi, coloro che si occupano del reverse engineering ovvero che – dato un prodotto finito – ricostruiscono il suo funzionamento, i penetration tester hackers, ossia coloro che forzano i sistemi e, infine, gli amministratori che si occupano di fare hardening, ovvero ,di ridurre la superficie di attacco. Questi ultimi sono a conoscenza che i loro collaboratori maneggiano dati riservati che valgono un molti soldi e si preoccupano di fare in modo che non possano fare inavvertitamente dei danni o essere tentati di iniziare una propria attività partendo proprio da quei dati. Infine, la Gang, si è dotata anche di unhelp desk per i propri “clienti” (le vittime), con persone che fanno i turni e guadagnano sui 2000 dollari al mese.
I servizi impiegati
Come ogni azienda moderna, anche la gang di Conti si affida a numerosi servizi in abbonamento – tipicamente cloud- soprattutto per cercare nuove vittime. In primo luogo, si affidano aCrunchbase e Zoominfo, per reperire i dati dei componenti del board e per i fatturati, entrambi elementi preziosi per determinare il valore del riscatto, oltre a profilare le vittime ideali.
Oltre a ciò, acquistano server, spazio in cloud e servizi complessi comeCobal Strike per i “penetration tester”, i processi operativi di analisi o valutazione della sicurezza di un sistema informatico o di una rete. In questo caso, sono interessanti le analisi sul valore dei servizi per cui hanno speso 60000 dollari, di cui la metà sono andati all’intermediario che ha garantito l’anonimato del gruppo. Attivano anche abbonamenti per poter fare intelligence OSINT, gli abbonamenti che classificano informazioni pubbliche e permettono di ricostruire velocemente il profilo digitale di una persona o di una azienda. Questo tipo di strategia risulta particolarmente utile durante la negoziazione di un riscatto: succede che, in alcuni casi, segnalano al loro operatore help-desk (il negoziatore), di non accettare un’offerta al ribasso, motivata dalla scarsa disponibilità di risorse da parte della vittima, facendo presente il parco auto e le proprietà dell’amministratore delegato della suddetta azienda. Nelle chat delle negoziazioni infatti, emerge anche il tipo di informazioni che ricercano.Tra queste si distingue in particolare se la vittima è dotata di una polizza contro il rischio cyber; in questo caso, il negoziatore non concede sconti in quanto sa che l’importo pagato, in un modo o nell’altro, sarà coperto dell’assicurazione.
A questo punto, è possibile affermare che la gang di Conti conosce perfettamente le tematiche assicurative e di compliance di denuncia al Garante, e si destreggia con abilità per “convincere” la vittima che pagare il riscatto sia la scelta economicamente più vantaggiosa. Inoltre, fanno riferimento a molte aziende che non hanno dichiarato alcun data-breach e, internamente, la classificano come esempio di successo, evidenziano i fattori che hanno permesso la chiusura della negoziazione e chiedono di utilizzarli per le successive operazioni.
“L’incredibile ammontare di Bitcoin che Conti ha maneggiato negli anni è pari a circa 65000 Bitcoin e, senza ombra di dubbio, possiamo affermare che hanno compreso prima di altri il potenziale delle criptovalute, tanto da pianificare investimenti strutturali” – afferma Marco Lucchina, Channel Manager Italy, Spain & Portugal di Cynet – “Sembra infatti che la gang fosse anche tra i fondatori di SQUID, una piattaforma che, partita da 1 cent, in pochi giorni ha raggiunto oltre 2000 dollari per singola unità. Se questa gang non operasse in un mercato illegale, staremmo parlando di un’azienda innovativa da studiare e da prendere come esempio”.
© RIPRODUZIONE RISERVATA
L’articolo Viaggio dentro a Conti: ecco la quotidianità di una delle Cyber Gang più pericolose secondo Cynet proviene da Report Difesa.
GIPHY App Key not set. Please check settings