data breach

Esposti dati riservati di Conti, gruppo ransomware pro-Russia

L’organizzazione criminale Conti ha subito un furto massivo di dati inerenti le proprie comunicazione interne riservate, i dati ora sono esposti online, a seguito dell’operazione condotta per le posizioni del gruppo sulla recente guerra in Ucraina.

28 Feb 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Un ricercatore informatico ucraino, membro infiltrato del gruppo criminale di ransomware Conti, ha deciso di prenderne le distanze esfiltrando dal gruppo stesso oltre 60.000 conversazioni private tra i membri e tra i membri e le vittime. Un leak dalle dimensioni invidiabili nella storia delle bande criminali. Un duro colpo per quella che è una tra le organizzazioni criminali più specializzate e prolifere del mondo, secondo vari studi statistici di differenti società di sicurezza informatica per l’anno 2021.

Il gruppo Conti subisce un data breach

La decisione presa dal ricercatore, il cui nome non è noto, è guidata proprio dalle ultime politiche sul coinvolgimento nella guerra in Ucraina del gruppo Conti, a sostegno della Russia, espresse in maniera esplicita sul proprio blog dopo la prima giornata di invasione dell’Ucraina da parte dell’esercito russo. Si precisa pertanto che il gruppo di ransomware Conti non è stato vittima di attacco esterno, ma ha subito un vero e proprio saccheggio del proprio materiale sensibile, da parte di un insider in rivolta.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Il messaggio originale, visibile in figura, è stato poi successivamente ridimensionato, dichiarando che il gruppo ripudia la guerra e offre il proprio sostegno in caso di risposta ad attacchi rivolti verso istituzioni strategiche russe.

Rubati i dati da un server di logging Jabber (servizio chat dedicato proprio all’interscambio di messaggi istantanei), questi sono stati esposti tramite il gruppo di ricerca specializzato in malware VX-Underground, che ne ha condiviso subito pubblicamente una copia (ora disponibile per la consultazione sul loro sito).

Cosa è stato rubato nell’attacco

Nel contenuto del data leak troviamo un totale di 60.694 messaggi, dal 21 gennaio 2021 suddivisi in 393 file JSON. Appunto provenienti da un server di log Jabber che venivano conservate in un formato non crittografato. Inoltre sono ora esposti 239 indirizzi Bitcoin con all’interno circa 13 milioni di dollari di pagamenti, indirizzi IP, pannelli di controllo e altri dati utili a dettagliare l’infrastruttura della banda criminale Conti.

L’importanza di questi dati è notevole per ricercatori e professionisti della sicurezza informatica, sicuramente un grande aiuto per continuare a studiare e tracciare il modus operandi di questa, ormai tristemente nota cyber gang.

Il gruppo ransomware Conti è in pericolo?

Sebbene gli snippet condivisi rappresentino solo una piccola parte delle chat rubate, nelle settimane successive verranno raccolte molte più informazioni dall’interpretazione di questi dati.

A seguito dell’invasione russa dell’Ucraina, hacker, bande di ransomware e ricercatori di sicurezza hanno iniziato a schierarsi nel conflitto. Mentre alcune bande di ransomware hanno scelto di supportare la Russia, altre, come LockBit sono rimaste neutrali, volendo prediligere unicamente gli affari e i guadagni economici, allo schieramento politico.

Va detto, però, che per quanto possa rappresentare un duro colpo per l’unione della banda e la crisi interna generata, l’incidente subito da Conti produrrà sicuramente effetti di abbastanza breve termine. Questo leak infatti ne espone le parti più intime e segrete, ma un’organizzazione di questa portata non viene minata da una simile operazione e sarà, purtroppo, capace di riunire le proprie forze e continuare l’attività regolarmente. Anche alla luce dell’ultima acquisizione di BazarBackdoor, tutto fa pensare che il crimine non si arresterà così.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4