Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 21 Maggio 2022 09:06
La famigerata banda di ransomware Conti ha ufficialmente chiuso la propria attività, con l’infrastruttura offline e i team leader che hanno ufficializzato che il marchio non esiste più.
Questa notizia arriva da Yelisey Boguslavskiy di Advanced Intel, che ha twittato ieri pomeriggio che l’infrastruttura interna della banda è stata disattivata.
Mentre la fuga dei dati da “Conti News”, ovvero il sito principale risulta ancora online, Boguslavskiy ha detto a BleepingComputer che i pannelli di amministrazione di Tor utilizzati dai membri per condurre trattative e pubblicare “notizie” sul loro sito sono al momento offline.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Anche se può sembrare strano per Conti chiudersi nel bel mezzo della loro guerra di informazioni con il Costa Rica, Boguslavskiy dice che Conti ha condotto questo attacco mentre i membri di Conti sono migrati lentamente verso altri gruppi ransomware più piccoli.
“Tuttavia, la visibilità e le scoperte dell’intelligence di AdvIntel hanno portato a quella che in realtà era, la conclusione opposta: l’unico obiettivo che Conti era raggiungere con questo attacco finale uno strumento di pubblicità, eseguendo la propria morte e successiva rinascita nel modo più utile che si potesse concepire”
spiega un rapporto di Advanced Intel.
“L’ordine per condurre l’attacco al Costa Rica a scopo pubblicitario anziché di riscatto è stato dichiarato internamente dalla leadership di Conti. Le comunicazioni interne tra i membri del gruppo suggerivano che il pagamento del riscatto richiesto era di gran lunga inferiore a 1 milione di dollari (nonostante le richieste non verificate del riscatto parlavano di 10 milioni di dollari, seguiti dalle affermazioni di Conti secondo cui la somma era di 20 milioni di dollari).”
Anche se il marchio di ransomware Conti non esiste più, la cybergang continuerà a svolgere un ruolo significativo nel settore dei ransomware per molto tempo a venire.
Boguslavskiy ha detto che invece di rinominarsi come molte altre operazioni di ransomware, la leadership di Conti ha invece collaborato con altre bande di ransomware più piccole per condurre attacchi.
In base a questa partnership, le bande di ransomware più piccole ottengono un afflusso di esperti pentester, negoziatori e operatori di Conti. Il gruppo Conti invece ottiene mobilità e una maggiore evasione dalle forze dell’ordine suddividendosi in “cellule” più piccole, tutte gestite da una leadership centrale.
Il rapporto Advanced Intel spiega che Conti ha collaborato con numerose note operazioni di ransomware, tra cui HelloKitty, AvosLocker, Hive, BlackCat, BlackByte e altri.
I membri Conti esistenti, inclusi negoziatori, analisti di informazioni, pentester e sviluppatori, sono sparsi in altre operazioni ransomware. Sebbene questi membri utilizzeranno ora i ransomware e i siti di negoziazione di queste altre operazioni ransomware, fanno ancora parte del più ampio sindacato di criminalità informatica Conti.
Questa frammentazione in gruppi semi-autonomi e autonomi più piccoli è illustrata nell’immagine sottostante condivisa da Advanced Intel.
Advanced Intel afferma inoltre che sono stati creati nuovi gruppi autonomi di membri Conti che si concentrano interamente sull’esfiltrazione dei dati e non sulla crittografia dei dati.
Alcuni di questi gruppi includono Karakurt , BlackByte e il collettivo Bazarcall .
Queste iniziative consentono all’esistente sindacato di criminalità informatica di continuare ad operare ma non più sotto il nome Conti.
Il rebranding di Conti non sorprende ricercatori e giornalisti che li hanno seguiti negli ultimi mesi, se non negli anni passati. L’operazione Conti ransomware è stata lanciata nell’estate del 2020, dopo aver preso il posto del ransomware Ryuk.
Come Ryuk, Conti è stato distribuito attraverso partnership con altre infezioni da malware, come TrickBot e BazarLoader, che hanno fornito l’accesso iniziale alla banda di ransomware.
Nel corso del tempo, Conti è diventata la più grande operazione di ransomware, trasformandosi lentamente in un sindacato di criminalità informatica quando ha rilevato le operazioni di TrickBot, BazarLoader ed Emotet.
Tuttavia, è stato solo quando Conti si è schierato con l’invasione russa dell’Ucraina che il marchio Conti è diventato “trabballante” e il loro destino segnato.
Dopo essersi schierato con la Russia, un ricercatore di sicurezza ucraino ha iniziato a far trapelare oltre 170.000 conversazioni di chat interne tra i membri della banda di ransomware Conti e il codice sorgente del ransomware Conti .
Una volta che questo codice sorgente è diventato pubblico, altri attori delle minacce hanno iniziato a utilizzarlo nei propri attacchi, con un gruppo di hacker che utilizzava il ransomware Conti negli attacchi contro entità russe.
Il governo degli Stati Uniti considera Conti uno dei ceppi di ransomware più costosi mai creati, con migliaia di vittime e oltre 150 milioni di dollari in pagamenti di riscatto.
Gli exploit della banda di ransomware Conti hanno portato il governo degli Stati Uniti a offrire una ricompensa fino a 15.000.000 di dollari per l’identificazione e l’ubicazione dei membri di Conti in ruoli di leadership.
Fonte
https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/amp/
RedazioneIl Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
