Dalle prime analisi di Swascan, i soli dati resi pubblici raccontato un giro d’affari cybercriminale di oltre 2 miliardi di dollari. “Il fatto che ci deve maggiormente preoccupare è che il gruppo non sembri affatto preoccupato dell’accaduto: il suo sito di pagamenti e di supporto è infatti ancora attivo”, osserva l’ad Pierguido Iezzi
Un nuovo account, @ContiLeaks, è comparso su Twitter il 27 febbraio, tre giorni dopo l’attacco russo all’Ucraina e a meno di 48 ore dalle controverse dichiarazioni di sostegno al Cremlino da parte della cybergang Conti, una delle maggiori in Russia, apparse sul dark web e poi immediatamente ritrattate in favore di un più generico antiamericanismo. Tramite questo profilo, un ricercatore di sicurezza ucraino ha divulgato diversi anni di log di chat interne alla celebre organizzazione cybercriminale russa e altri dati sensibili legati a Conti.
“Dalle analisi condotte dal SOC e Threat Intelligence Team di Swascan, le informazioni trapelate danno la possibilità di osservare dall’interno le trame e gli affari di una delle maggiori cybergang russe, che si concentra sulla distribuzione del suo ransomware contro le aziende con più di 100 milioni di dollari di fatturato”, spiega Pierguido Iezzi, amministratore delegato di Swascan, polo italiano della cybersicurezza del Gruppo Tinexta. “I registri forniscono anche elementi su come Conti, un’impresa digitale criminale con oltre 100 dipendenti a libro paga, ha affrontato le proprie violazioni interne e gli attacchi da parte di società di sicurezza private e di governi stranieri. Grazie alla defezione di un membro della gang, possiamo ora volgere uno sguardo approfondito sui meccanismi del cybercrime che non ha precedenti”.
Il primo link pubblicato da @ContiLeaks rimanda ad un archivio di messaggi, che vanno dal 29 gennaio 2021 a oggi, presi dalla chat privata di Conti con un messaggio: “Gloria all’Ucraina”. Successivamente sono state pubblicate ulteriori chat dal 22 giugno al 16 novembre 2020 e tuttora l’account continua a rilasciare dati che offrono l’opportunità, unica nel suo genere, di veder dall’interno la gestione di una organizzazione cybercriminale.
“Nei giorni successivi”, osserva Iezzi, “sono proseguiti i leak di chat e dati, dando addirittura accesso a diversi server interni di backup, tra i quali uno in particolare da 7,3 Terabyte che i nostri analisti hanno potuto esaminare, dove la gang andava tra l’altro a salvare i dati esfiltrati alle compagnie vittime di attacchi ransomware”.
Tutti i data leak rilasciati dal profilo @ContiLeaks sono stati raccolti e organizzati dal gruppo di ricercatori malware “VX-Underground”, permettendo così un’analisi più ragionata delle informazioni che ha consentito di individuare alcuni elementi dell’organizzazione. Tra questi, diverse allusioni a una probabile collaborazione con i servizi segreti russi (Fsb) in particolare per il caso Navalny, possibili collegamenti alla cyber gang Ryuk e gli indirizzi dei portafogli bitcoin utilizzati dalla gang. Questi ultimi, in particolare, hanno permesso di scoprire che in oltre 5 anni, sono stati ricevuti 65.498 bitcoin, corrispondenti al cambio attuale a oltre 2,4 miliardi di dollari.
“Il fatto che ci deve maggiormente preoccupare è che Conti Team non sembri affatto preoccupata dell’accaduto: il suo sito di pagamenti e di supporto è infatti ancora attivo”, osserva Iezzi. “Questa cybergang ha dato prova senza ombra di dubbio di una considerevole resilienza, dimostrandosi capace di rilanciare la sua infrastruttura e rimanere operativa anche dopo un simile attacco. Segno che può fare molto male a chi colpisce: un monito severo per tutti gli operatori pubblici e privati a non abbassare la guardia”.