L'ANALISI TECNICA

Conti, la gang del ransomware che sta attaccando l’Italia

Il gruppo ransomware Conti è il protagonista di molti attacchi recenti ai danni di organizzazioni dislocate in tutto il mondo, tra cui l’italiana San Carlo e il Comune di Torino. Ecco un’analisi approfondita di quello che sappiamo su questa pericolosa minaccia e sul suo modus operandi

17 Nov 2021
D
Emanuele De Lucia

Director of Cyber Intelligence presso Cluster25

La San Carlo (l’azienda alimentare famosa per le patatine) e il Comune di Torino sono le ultime vittime, in ordine di tempo, del gruppo ransomware Conti che sembra aver preso di mira in particolare il nostro Paese: la sua attività malevola, infatti, era stata già segnalata anche in un bollettino di sicurezza pubblicato dal CSIRT Italia proprio sulla recente diffusione dell’utilizzo del Ransomware-as-a-Service (RaaS) in attacchi rivolti a organizzazioni dislocate in tutto il mondo.

Le origini del gruppo ransomware Conti

In realtà, già nel luglio 2020 la comunità di ricercatori di cyber security aveva focalizzato la propria attenzione su di una nuova variante ransomware, sin lì utilizzata sporadicamente, chiamata “Conti”.

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly

Il suo codice è con estrema probabilità basato su quello di Ryuk ed entrambe le varianti paiono poter lavorare di concerto con il trojan bancario noto con il nome di TrickBot.

L’industria della cyber security ha già da tempo conosciuto il ransomware Ryuk: questo malware è stato ampiamente utilizzato lo scorso anno in attacchi mirati contro organizzazioni ed istituzioni operanti in diversi settori, tra cui anche l’italiana Bonfiglioli.

Tuttavia, ad un certo punto si registra una frattura tra i criminali informatici che impiegavano Ryuk; in quel momento nasce “Conti”, inizialmente noto come Ryuk 2.0, proprio per la forte sovrapposizione di caratteristiche con il suo predecessore.

In particolare, alcune caratteristiche (come la capacità di scegliere selettivamente files e macchine da impattare via command-line) suggeriscono una minaccia destinata ad un basso livello di diffusione ed operata manualmente all’interno di ambienti vittima per i quali è prevista una estesa fase di raccolta informativa.

Da lì a poco tale payload diverrà nei fatti la base di un cartello di affiliati fra i più estesi e pericolosi della rete.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Il modello di azione del ransomware Conti

Ad un occhio non allenato il gruppo Conti potrebbe sembrare l’ennesimo agglomerato di individui che hanno avuto successo nello sfruttare nuovi modelli di business criminale mediante programmi RaaS (Ransomware-as-a-Service) più o meno simili ad altri.

Tuttavia, questo gruppo ha mostrato nel tempo una capacità di adattamento non usuale e che risulta difficile da osservare in altri fenomeni simili.

Ad oggi risulta un gruppo fortemente organizzato che ha sviluppato delle sostanziali differenze rispetto al modello standard delle organizzazioni RaaS che siamo abituati ad analizzare. Mentre altri gruppi che operano a scopo estorsivo lavorano in team solitamente chiusi e indipendenti gli uni dagli altri, non è invece insolito trovare nelle operazioni attribuibili alla gang Conti altissimi livelli di collaborazione fra tutti i suoi affiliati.

Questo approccio collaborativo non riguarda solo i penetration tester (cioè coloro i quali effettivamente eseguono le operazioni di compromissione del network interno e movimentazione laterale), ma anche gli affiliati IAB (gli Initial Access Broker che si occupano di acquisire gli accessi iniziali alle reti target) e i malware writer (gli specialisti nello sviluppo e nella manutenzione dei payload).

Come avviene il reclutamento nel gruppo Conti

Tale livello di collaborazione fra affiliati del gruppo è risultato talvolta evidente nel contrasto alla più grande minaccia che un collettivo ransomware possa affrontare: i backup. Conti indirizza, infatti, il problema del contrasto ai backup a partire proprio dalla costruzione e dal reclutamento dei componenti dei propri team (chiamati forse con poca fantasia team_1, team_2, team_3…).

Quando tali team vengono composti le principali caratteristiche che ciascun candidato deve presentare sono proprio quelle relative alla capacità di individuare e neutralizzare ogni strumento utile al ripristino dei dati.

Questa metodologia di reclutamento focalizzata su tali skills permette al sindacato di circondarsi di elementi con grosse verticali su tale settore e dunque di essere in grado di fronteggiare quasi ogni scenario possibile, innalzando di conseguenza le probabilità di successo degli attacchi.

Il modus operandi di Conti

Conti utilizza diversi vettori come accesso iniziale ai target.

Questi spaziano dallo spear phishing fino allo sfruttamento di vulnerabilità o credenziali rubate nell’accesso a servizi esposti.

Nelle loro operazioni si è soliti osservare varianti Cobalt Strike come impianti di primo stadio: nonostante questo possa essere considerato uno strumento legittimo e disponibile in commercio per test di penetrazione autorizzati, il suo utilizzo è praticamente diventato una costante nel mondo del crimine informatico.

Ottenuto un primo beacon dall’infrastruttura vittima, gli attaccanti cercheranno di performare movimentazione laterale, innalzamento dei privilegi e persistenza. A questo proposito può sfruttare altri tool quali atera, ngrock e rclone per esfiltrare i dati e gestire i corrispettivi flussi verso il cloud.

Cosa insegna l’attacco al Comune di Torino

Conti ha presentato in passato notevoli capacità tecniche e come accennato utilizza diversi vettori per ottenere un primo accesso al perimetro vittima: dalle e-mail di spear-phishing sino allo sfruttamento di vulnerabilità e/o credenziali rubate, il ventaglio di ipotetici scenari di compromissione risulta abbastanza ampio.

È proprio lo sfruttamento di uno dei servizi di accesso remoto (nello specifico un RDP – Remote Desktop Protocol) che la gang Conti potrebbe aver sfruttato nelle primissime fasi dell’attacco alla municipalità della città di Torino.

Tali credenziali solitamente vengono acquisite mediante compravendite nel Dark/Deep Web o tramite attività di brute forcing dei servizi esposti.

Una volta ottenuto tale accesso non vi sono motivi per pensare che l’attore abbia agito diversamente dal consueto in questo specifico caso.

Possiamo dunque ipotizzare l’impianto di varianti Cobalt Strike e altri strumenti a supporto di azioni mirate all’identificazione e alla compromissione di nodi critici come, per esempio, i controller di dominio.

Come mitigare il rischio di un attacco

Per quanto riguarda le pratiche di mitigazione è consigliabile adottare, fra le altre cose, misure di contrasto che vedano il training dei dipendenti e dei collaboratori nei confronti dei rischi associati alla posta elettronica nonché di quelli relativi ad eccessive esposizioni nei social network oltre alle più classiche procedure di gestione degli aggiornamenti, adozione di doppio fattore di autenticazione soprattutto per i servizi di accesso remoto, limitazione della potenziale superficie d’attacco e solide politiche di backup dei dati.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4