Conti, un importante sindacato di ransomware con stretti legami con la Russia, è probabilmente responsabile di cyberattacchi che hanno generato circa 77 milioni di dollari in 21 mesi, come mostra un’analisi di Nikkei, che descrive un lucroso business del mercato nero.
Il gruppo ha rapidamente spostato i fondi attraverso un’intricata rete di conti di criptovalute per eludere la cattura. L’organizzazione si avvale persino di un team per gestire le relazioni pubbliche e gli affari del personale, proprio come una grande azienda.
Il gruppo è una forza importante nel mondo dei crimini informatici. Secondo la piattaforma di analisi DarkTracer di Singapore, circa il 20% di tutte le aziende che hanno rivelato pubblicamente di essere state vittime di ransomware, ovvero 824 aziende, sono state colpite da Conti. Il governo degli Stati Uniti ha recentemente offerto una taglia fino a 10 milioni di dollari per informazioni che portino all’identificazione e alla localizzazione dei leader di Conti.
Quando a febbraio Conti ha rilasciato una dichiarazione a sostegno dell’invasione dell’Ucraina da parte della Russia, i membri che sostengono il governo di Kiev si sono vendicati facendo trapelare i registri delle chat interne. I dati scaricati, che coprono un periodo compreso tra giugno 2020 e marzo di quest’anno, contenevano circa 170.000 messaggi scritti interamente in russo, utilizzando 1,18 milioni di caratteri.
Nikkei ha analizzato i registri delle chat insieme a Takashi Yoshikawa, analista senior di malware presso Mitsui Bussan Secure Directions, una società di cybersicurezza con sede a Tokyo. Gli scambi hanno fornito uno sguardo dietro le quinte delle operazioni criminali di Conti.
“Le chat sembrano essere autentiche“, ha detto Yoshikawa, notando che rivelano scambi dietro le quinte su attacchi specifici e che i codici sorgente dei virus utilizzati per gli attacchi sono trapelati simultaneamente.
Conti possedeva 645 portafogli digitali contenenti un totale di 2.321 bitcoin, per un valore di oltre 90 milioni di dollari al momento della divulgazione dei log delle chat. Tenendo conto delle sovrapposizioni e di altri fattori, Conti possedeva almeno 1.953 bitcoin, ovvero più di 77 milioni di dollari, sotto forma di pagamenti di riscatti o di trasferimenti da parte di soggetti esterni.
Il portafoglio con il maggior numero di depositi ha ricevuto circa 23 milioni di dollari tra settembre e novembre 2020 nel corso di diversi trasferimenti, ognuno dei quali si avvicina agli 8 milioni di dollari. Questi fondi sono stati poi distribuiti a più portafogli.
“I fondi sono stati spostati in un breve lasso di tempo per evitare che gli investigatori rintracciassero i pagamenti del riscatto, con l’obiettivo di convertire i beni in contanti presso gli exchange o sul dark web“, ha dichiarato Yoshikawa.
Le chat comprendevano circa 350 partecipanti. Di questi, 35 membri hanno inviato più di 1.000 messaggi individualmente. Allo stesso tempo, il 30% dei partecipanti ha inviato 100 messaggi o meno.
Un certo numero di presidi ha supervisionato funzioni chiave, come le relazioni pubbliche e la gestione del personale. Conti ha fatto ruotare centinaia di membri attivi esperti di programmazione e di altre competenze, proprio come se si trattasse di lavoratori autonomi.
In alcuni casi, i membri sono saliti a bordo apparentemente ignari di essere coinvolti in attività criminali. Conti ha creato un’attività clandestina che offre compensi per le competenze che aiutano il gruppo a compiere attacchi.
Alcuni messaggi di chat suggeriscono collegamenti con il Servizio di sicurezza federale russo. Molti temono che Conti possa intensificare le attività se la Russia subirà ulteriori difficoltà economiche a causa delle sanzioni imposte dalle nazioni occidentali.
Le azioni di Conti dal 2020 rappresentano solo la punta dell’iceberg quando si tratta della scala virtualmente innumerevole dei crimini informatici. Secondo la società statunitense di cybersicurezza SonicWall, i soli attacchi ransomware sono raddoppiati lo scorso anno, raggiungendo circa 623 milioni di casi a livello globale. Nei mesi scorsi, Toyota Motor è stata oggetto di un attacco che ha bloccato per breve tempo la sua catena di fornitura.
Secondo le stime di Check Point Software Technologies, un’azienda israelo-americana di cybersicurezza, i danni finanziari associati ai blocchi dei sistemi causati dai ransomware, insieme alle spese legali e ad altre spese, ammontano a circa sette volte il pagamento del riscatto stesso. Gli investigatori non sono in grado di tenere il passo con i criminali informatici, creando probabilmente le condizioni per la prosperità di organizzazioni massicce come Conti.
