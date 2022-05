Ad un certo punto si registra una rottura tra i criminali informatici che impiegavano Ryuk; in quel momento nasce “Conti”, inizialmente noto come Ryuk 2.0.

Il suo codice è basato su quello di Ryuk ( un Trojan per la crittografia dei dati identificato il 13 agosto 2018) usato per l’attacco a varie istituzioni forse anche di concerto con il trojan bancario noto come TrickBot.

Alla fine del 2021 l'azienda “San Carlo” e il Comune di Torino sono state alcune delle vittime di una nota, oggi, cyber gang: il gruppo Conti. La sua attività era stata già segnalata anche in un bollettino di sicurezza pubblica pubblicato dal CSIRT Italia proprio per la diffusione dell’utilizzo del “Ransomware-as-a-Service” (RaaS) in attacchi rivolti a organizzazioni dislocate in tutto il mondo.

Mario Lucchina spiega che l’invasione russa dell’Ucraina è stata la svolta che ha permesso di studiare il gruppo dall’interno. La gang, che era nata come un’unione tra russi e ucraini, è cambiata: dal 24 febbraio la parte ucraina ha lasciato il gruppo e ha pubblicato, nel dark web, i dati del gruppo e tutta la sua struttura. “Un po' come quando un pentito di un’organizzazione criminale decide di raccontare come funziona il sistema “ racconta Lucchina, che con il suo gruppo di ricercatori ha analizzato i dati. E il quadro che ne esce conferma che questo settore, quello del ransomware gang ha un potenziale economico che se la batte con il narcotraffico.

Un organico di oltre 100 persone e un salario mensile che va dai 5.000 ai 10.000 dollari, per un totale di 180 milioni di dollari. Una struttura organizzativa solida con a capo degli amministratori accorti che dirigono le operazioni con sapienza ed attenzione. Tutti in prevalenza di lingua russa se non proprio russi.

Come sono strutturati?

La ricerca specifica che per svolgere le attività criminali ci sono dei programmatori o coders, personale specializzato o testers che analizzano i sistemi. Poi ci sono coloro che si occupano del reverse engineering ovvero che - dato un prodotto finito - ricostruiscono il suo funzionamento, i penetration tester hackers, ossia coloro che forzano i sistemi e, infine, gli amministratori che si occupano di fare hardening, ovvero di ridurre la superficie di attacco. Questi ultimi sono a conoscenza che i loro collaboratori maneggiano dati riservati che valgono un molti soldi e si preoccupano di fare in modo che non possano fare inavvertitamente dei danni o essere tentati di iniziare una propria attività partendo proprio da quei dati.

Esiste anche un help desk per i propri “clienti” (le vittime), con persone che fanno i turni e guadagnano sui 2000 dollari al mese.

Quali servizi impiegano?

La gang di Conti si affida a numerosi servizi in abbonamento - tipicamente cloud - soprattutto per cercare nuove vittime. In primo luogo, si affidano a Crunchbase e Zoominfo, per reperire i dati dei componenti del board e per i fatturati, per determinare il valore del riscatto e profilare le vittime ideali.

Oltre a ciò, acquistano server, spazio in cloud e servizi complessi come Cobal Strike per i “penetration tester”, i processi operativi di analisi o valutazione della sicurezza di un sistema informatico o di una rete. In questo caso, sono interessanti le analisi sul valore dei servizi per cui hanno speso 60.000 dollari, di cui la metà sono andati all’intermediario che ha garantito l’anonimato del gruppo.

Attivano anche abbonamenti per poter fare intelligence OSINT, gli abbonamenti che classificano informazioni pubbliche e permettono di ricostruire velocemente il profilo digitale di una persona o di una azienda.

Questo tipo di strategia risulta particolarmente utile durante la negoziazione di un riscatto: succede che, in alcuni casi, segnalano al loro operatore help-desk (il negoziatore), di non accettare un’offerta al ribasso, motivata dalla scarsa disponibilità di risorse da parte della vittima, facendo presente il parco auto e le proprietà dell’amministratore delegato della suddetta azienda.

Esistono azioni di prevenzione contro queste cyber gang?

Bisogna partire dall’identificazione di tutte le vulnerabilità potenziali dei sistemi e delle applicazioni e poi controlli di sicurezza e monitoraggio.