Ransomware alla San Carlo: cosa sappiamo sulla gang Conti e cosa impariamo - Cyber Security 360

CYBER MINACCE

Ransomware alla San Carlo: cosa sappiamo sulla gang Conti e cosa impariamo

Il recente attacco informatico condotto dal gruppo ransomware Conti ai danni dell’italiana San Carlo è l’occasione per fare luce sulla gang criminale e sul suo modus operandi: un’analisi utile per conoscere la minaccia e adottare le necessarie misure di sicurezza

02 Nov 2021
M
Luca Mella

Cyber Security Expert

Il 25 ottobre 2021 è comparso online l’annuncio di una tentata estorsione ai danni dell’italianissimo gruppo industriale San Carlo, dal 1936 uno dei brand italiani più riconosciuti di sempre nell’industria alimentare. Il gruppo cyber criminale Conti ha infatti pubblicato nel suo data-leak-site (DLS) anonimo un post che referenzia direttamente il sito pubblico del noto gruppo industriale.

Le prime evidenze circostanziali suggeriscono, però, che l’attacco sia stato potenzialmente portato ai danni di Unichips Italia SPA, la holding company dello storico colosso agroalimentare, polo di aggregazione dei più noti brand della patatina italiana.

I cyber criminali hanno infatti pubblicato una lista di trenta documenti. Un piccolo estratto di 58 Megabyte di dati per dimostrare la credibilità delle loro rivendicazioni. I nomi dei file nel listato rivelano nomenclature potenzialmente preoccupanti: budget interni, contratti di fornitura ed informazioni personali apparentemente legate a passaporti e documenti di identità persino dei membri della famiglia Vitaloni, fondatori e shareholder di maggioranza della holding agroalimentare.

Annuncio su data leak site della gang Conti (26 Ottobre 2021).

Conti: il collettivo cyber criminale

Il celebre marchio delle patatine ha potenzialmente subito un tentativo di estorsione orchestrato dal gruppo cyber criminale Conti, la feroce gang che da oltre due anni manovra attacchi informatici a livello globale.

WHITEPAPER
Tecnologie di storage per modernizzare l'infrastruttura IT: scopri i vantaggi per gli Operatori IT!
Storage
Backup

Tra le attività criminali del gruppo si contano oltre 500 estorsioni, ma si tratta in realtà della sola punta dell’iceberg perché le organizzazioni menzionate nel data leak site del gruppo ransomware sono solamente quelle che hanno sbarrato la strada a qualsiasi tipo di negoziazione con i loro “carnefici digitali”.

Gli osservatori di cyber security internazionali sono stati in grado finora di ricondurre oltre 12,7 milioni di dollari in Bitcoin nelle disponibilità finanziarie di questo articolato gruppo, caratterizzato dal modello di business criminale delle doppie estorsioni perpetrate con un una struttura organizzativa basata su affiliati e partner, affinata dopo le estorsioni ransomware mirate operate da Ryuk prima del 2020.

Distribuzione delle operazioni di attacco Conti (fonte:doubleextortion.com).

La matrice delle operazioni di attacco ransomware Ryuk, che nel 2019 hanno colpito pesantemente anche l’italiana Bonfiglioli Riduttori, è infatti comune a quella delle più recenti operazioni cyber criminali di Conti.

Dietro ai due gruppi vi è infatti il medesimo collettivo criminale “Wizard Spider”, che nel tempo ha evoluto i suoi modelli di business criminale dagli attacchi ransomware mirati RaaS (Ransomware as a Service) alle più scalabili pratiche della Double Extortion con partnership e affiliazioni nell’ecosistema cyber criminale, sfruttando così le esperienze di intrusione informatica maturate con il progetto Ryuk e creando un sistema organizzato di knowledge transfer per i nuovi affiliati, di cui una piccola parte è emersa nell’estate 2021 a seguito della defezione di un affiliato della gang cyber criminale che ha rivelato pubblicamente i manuali operativi di attacco che l’organizzazione forniva ai nuovi adepti.

Il modus operandi del ransomware Conti

Tra i modus operandi documentati in questa documentazione ci sono istruzioni tecniche e metodologie operative che gran parte degli affiliati alla gang Conti utilizza per raggiungere gli obiettivi criminali, ad esempio:

  • come configurare lo strumento “rclone” per la data exfiltration su provider file storage in cloud;
  • configurare “AnyDesk” per garantire accesso remoto e persistenza all’interno della rete locale;
  • utilizzare l’impianto di attacco “Cobalt Strike” e le sue funzionalità di discovery e scansione interna;
  • installare il framework di penetration testing Metasploit su virtual private server VPS;
  • connettersi alle reti violate tramite RDP e strumenti di tunneling come ngrok;
  • estrarre le password di Active Directory con tecniche di NTDS dumping;
  • operare attacchi a forza bruta su SMB;
  • forzare router, dispositivi NAS e telecamere di sicurezza IP;
  • sfruttare le falle “ZeroLogon” per compromettere il dominio Active Directory;
  • utilizzare tecniche di attacco “Kerberoasting”;
  • disabilitare le protezioni Windows Defender;
  • eliminare le copie shadow e gli shadow volume;
  • configurare sistemi operativi e connessioni anonime ToR.

Di fatto una sorta di SOP (Standard Operating Procedure) che rende gli affiliati alla gang cyber criminale Conti estremamente pericolosi per aziende e pubbliche amministrazioni.

Struttura operativa del collettivo “Wizard Spider” (fonte:clearsky).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5