Diversi gruppi di ricerca tornano ad indagare sul ransomware Conti, cosa si sa finora degli ex membri e delle loro attività pro Russia
L’ultimo report del Threat Analysis Group (TAG) di Google, indaga su dettagli che potrebbero collegare ex membri del noto gruppo di ransomware Conti, con recenti attacchi in Ucraina.
Ex membri di Conti a lavoro contro l’Ucraina
Il report di questo mercoledì di TAG copre cinque campagne condotte da un attore di minacce, da aprile ad agosto. Il gruppo, tracciato come UAC-0098 dal team di risposta agli attacchi informatici ucraino, CERT-UA, ha recentemente concentrato i suoi attacchi verso il governo ucraino, le organizzazioni ucraine e varie organizzazioni umanitarie e senza scopo di lucro europee.
Secondo il rapporto di Google, UAC-0098 è un broker di accesso iniziale che ha lavorato con vari gruppi di ransomware tra cui Conti e Quantum.
Un punto cruciale di questo rapporto TAG, è l’analisi delle analogie con il gruppo Conti.
“Sulla base di molteplici indicatori, TAG valuta che alcuni membri di UAC-0098 siano ex membri del gruppo di criminalità informatica Conti che ripropongono le loro tecniche per prendere di mira l’Ucraina”, ha scritto Pierre-Marc Bureau, sviluppatore di software di Google e autore del post.
Ci sono gli attacchi di cyberwar e poi c’è Conti
Secondo analisti delle minacce e funzionari governativi, la stragrande maggioranza degli attacchi informatici contro l’Ucraina è stata condotta da gruppi sponsorizzati dallo stato gestiti da agenzie di intelligence russe piuttosto che da bande di criminali informatici o appaltatori indipendenti. Vale in generale, tranne che per Conti. Questo infatti si è distinto come una rara eccezione.
Sebbene la banda sia stata rilevata per la prima volta nel 2020, in questa guerra Conti ha guadagnato importanza alla fine di febbraio quando ha dichiarato il sostegno alla Russia nell’invasione dell’Ucraina da parte del paese. Questa è stata seguita da una massiccia fuga di dati interni, oltre a una taglia di 10 milioni di dollari dal governo degli Stati Uniti dopo che la banda ha hackerato il governo costaricano a metà aprile.
Secondo un rapporto di maggio della società di intelligence AdvIntel, Conti sarebbe in procinto di dividersi in più gruppi dopo che la sua dichiarazione filo-russa ha causato l’esaurimento delle loro entrate economiche criminali.
Addirittura indagini molto più recenti hanno fatto emergere l’analisi di un nuovo ransomware, chiamato Monti, per il quale non ci sono evidenze nette che si tratti di una operazione collegata a Conti, ma di sicuro il codice utilizzato è “tratto” dalla versione di Conti trapelata a marzo 2022. Proprio perché nel codice sorgente di Monti i ricercatori hanno trovato analogia molto affini nei due codici dei ransomware, che sviluppano il punto d’ingresso alla stessa maniera.
I collegamenti con Conti
Il rapporto ha fornito due indicatori che collegano l’UAC-0098 a Conti: una backdoor privata precedentemente non divulgata utilizzata da gruppi affiliati a Conti e l’uso di uno strumento di comando e controllo (C2) che dovrebbe essere sviluppato da Conti.
“Le attività dell’UAC-0098 sono esempi rappresentativi di offuscamento dei confini tra gruppi motivati finanziariamente e gruppi sostenuti dal governo nell’Europa orientale, illustrando una tendenza in cui gli attori delle minacce cambiano i loro obiettivi per allinearsi agli interessi geopolitici regionali”, ha scritto Bureau. “In modo piuttosto unico, il gruppo dimostra un forte interesse a violare le imprese che operano nel settore dell’ospitalità ucraina, arrivando al punto di lanciare più campagne distinte contro le stesse catene alberghiere”.
