Dopo la pubblicazione delle chat con l’appoggio a Putin, emergono codici sorgente del pannello di controllo, il decryptor, il builder del ransomware Conti. Potrebbe essere un game over, ma non è necessariamente una buona notizia.
Autore: Redazione SecurityOpenLab
Il gruppo ransomware che mietuto più vittime nel 2021 e che ha iniziato il 2022 sulla cresta dell’onda potrebbe essere al capolinea. Parliamo di Conti, che ha chiuso l’anno con un bilancio in attivo di 33 siti di rivendicazione, 1.966 aziende colpite (+47% rispetto al 2020) e guadagni per milioni di dollari.
Secondo uno studio recente, il tempo medio di esistenza di un gruppo ransomware è 17 mesi, allo scadere del quale subentrano il rebranding o lo scioglimento. Se Conti scomparirà, però, non sarà per motivi fisiologici, o perché gli affiliati si sentono braccati dalle autorità. Sarebbe banalmente un suicidio dovuto all’appoggio accordato (pubblicamente) a Putin.
Quello che è successo è piuttosto semplice: Conti è un gruppo ransomware di lingua russa, che come molti altri di qualsiasi nazionalità, una volta iniziato l’attacco di Putin contro l’Ucraina e la democrazia, ha dovuto decidere da quale parte schierarsi. La conversazione in cui gli affiliati esponevano le proprie posizioni e motivazioni avrebbe dovuto essere riservata, ma così non è stato. Un ricercatore ha scovato e pubblicato online le chat in cui i cyber criminali hanno espresso, in definitiva, il loro appoggio all’azione bellica russa.
Questo ha fatto notizia, in alcuni casi scalpore. In realtà troviamo poco di cui meravigliarsi: se è vero che il Governo russo ospita consapevolmente criminali informatici impegnati in attacchi cyber contro istituzioni e aziende Occidentali, non stupisce che taluni abbiano deciso di ricambiare il “favore” promettendo appoggio cyber al “benefattore”. Certo, stiamo tralasciando l’aspetto umano della questione, ma del resto parliamo di criminali che in tempo di pandemia hanno attaccato anche ospedali e centri di ricerca, dando prova di un forte disprezzo per la vita umana.
Alla luce di quanto noto oggi, potremmo considerare le discussioni degli operatori di Conti come la premessa del suicidio. Questo perché, spulciando oltre 100.000 messaggi, alla fine è emerso qualcosa di davvero interessante: indirizzi bitcoin, organizzazione “aziendale”, strumenti e tecniche di elusione, il codice sorgente del pannello di controllo usato dagli operatori, l'API BazarBackdoor, le schermate dei server di archiviazione e molto altro.
Nel mucchio c’era anche un archivio protetto da password contenente il codice sorgente per la routine di crittografia, il decryptor e il builder del ransomware Conti. Risalire alla password non è stato complesso, quindi oggi c’è l’accesso libero al codice sorgente per i malware usati dal ransomware Conti. Per i dettagli basta collegarsi all’account Twitter @ContiLeaks.
https://twitter.com/ContiLeaks/status/1498678742583066630?s=20&t=AT0M659ib5oRrnGA_ZQ8cw
Questo significa tre cose. La prima, positiva, è che presto le vittime di Conti potranno tornare in possesso dei propri dati senza pagare. La seconda, anch’essa positiva, è che con il reverse engineering sarà possibile entrare in possesso di informazioni cruciali e inedite sul funzionamento del malware e sulle tattiche di difesa da adottare.
La terza invece è il risvolto della medaglia: il fatto che il codice sia pubblico permette a programmatori del cybercrime di usarlo a proprio favore per scatenare attacchi. È già accaduto in passato con il codice sorgente di HiddenTear, che una volta pubblicato venne sfruttato dal ransomware Babuk e dal altri threat actor per avviare le proprie operazioni.
Detto in altri termini, c’è da mettere in preventivo una prossima ondata di cyber attacchi basati sul codice, magari modificato in parte, del ransomware Conti.
Quanto agli affiliati del gruppo, il contraccolpo della pubblicazione delle chat è durissimo e va ben oltre il danno alla reputazione. Non è da escludere che si verifichi un’emorragia degli affiliati verso altri gruppi. Anche in questo caso, però, l’accezione non è necessariamente positiva. Certo, la scomparsa di una minaccia come Conti sarebbe un’ottima notizia. Ma non sapere dove si spostano gli affiliati, con quali nomi e tecniche li ritroveremo a minacciare aziende e istituzioni, è un problema.
Non ci resta che rilanciare l’appello suggerito da più di un utente sui social network: se questi criminali proprio non potranno a meno di attaccare l’Occidente, che almeno facciano il gesto umano di destinare i proventi dei riscatti all’Ucraina.