Conti ransomware chiude. Rebranding in altri piccoli collettivi sotto un controllo centrale

La famigerata banda di ransomware Conti ha ufficialmente chiuso la propria attività, con l’infrastruttura offline e i team leader che hanno ufficializzato che il marchio non esiste più.

Questa notizia arriva da Yelisey Boguslavskiy di Advanced Intel, che ha twittato ieri pomeriggio che l’infrastruttura interna della banda è stata disattivata.

Mentre la fuga dei dati da “Conti News”, ovvero il sito principale risulta ancora online, Boguslavskiy ha detto a BleepingComputer che i pannelli di amministrazione di Tor utilizzati dai membri per condurre trattative e pubblicare “notizie” sul loro sito sono al momento offline.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Anche se può sembrare strano per Conti chiudersi nel bel mezzo della loro guerra di informazioni con il Costa Rica, Boguslavskiy dice che Conti ha condotto questo attacco mentre i membri di Conti sono migrati lentamente verso altri gruppi ransomware più piccoli.

“Tuttavia, la visibilità e le scoperte dell’intelligence di AdvIntel hanno portato a quella che in realtà era, la conclusione opposta: l’unico obiettivo che Conti era raggiungere con questo attacco finale uno strumento di pubblicità, eseguendo la propria morte e successiva rinascita nel modo più utile che si potesse concepire”

spiega un rapporto di Advanced Intel.

“L’ordine per condurre l’attacco al Costa Rica a scopo pubblicitario anziché di riscatto è stato dichiarato internamente dalla leadership di Conti. Le comunicazioni interne tra i membri del gruppo suggerivano che il pagamento del riscatto richiesto era di gran lunga inferiore a 1 milione di dollari (nonostante le richieste non verificate del riscatto parlavano di 10 milioni di dollari, seguiti dalle affermazioni di Conti secondo cui la somma era di 20 milioni di dollari).”

Conti se n’è andato, ma l’operazione continua

Anche se il marchio di ransomware Conti non esiste più, la cybergang continuerà a svolgere un ruolo significativo nel settore dei ransomware per molto tempo a venire.

Boguslavskiy ha detto che invece di rinominarsi come molte altre operazioni di ransomware, la leadership di Conti ha invece collaborato con altre bande di ransomware più piccole per condurre attacchi.

In base a questa partnership, le bande di ransomware più piccole ottengono un afflusso di esperti pentester, negoziatori e operatori di Conti. Il gruppo Conti invece ottiene mobilità e una maggiore evasione dalle forze dell’ordine suddividendosi in “cellule” più piccole, tutte gestite da una leadership centrale.

Il rapporto Advanced Intel spiega che Conti ha collaborato con numerose note operazioni di ransomware, tra cui HelloKitty, AvosLocker, Hive, BlackCat, BlackByte e altri.

I membri Conti esistenti, inclusi negoziatori, analisti di informazioni, pentester e sviluppatori, sono sparsi in altre operazioni ransomware. Sebbene questi membri utilizzeranno ora i ransomware e i siti di negoziazione di queste altre operazioni ransomware, fanno ancora parte del più ampio sindacato di criminalità informatica Conti.

Questa frammentazione in gruppi semi-autonomi e autonomi più piccoli è illustrata nell’immagine sottostante condivisa da Advanced Intel.

Advanced Intel afferma inoltre che sono stati creati nuovi gruppi autonomi di membri Conti che si concentrano interamente sull’esfiltrazione dei dati e non sulla crittografia dei dati. 

Alcuni di questi gruppi includono Karakurt , BlackByte e il collettivo Bazarcall .

Queste iniziative consentono all’esistente sindacato di criminalità informatica di continuare ad operare ma non più sotto il nome Conti.

Un marchio tossico

Il rebranding di Conti non sorprende ricercatori e giornalisti che li hanno seguiti negli ultimi mesi, se non negli anni passati. L’operazione Conti ransomware è stata lanciata nell’estate del 2020, dopo aver preso il posto del ransomware Ryuk.

Come Ryuk, Conti è stato distribuito attraverso partnership con altre infezioni da malware, come TrickBot e BazarLoader, che hanno fornito l’accesso iniziale alla banda di ransomware.

Nel corso del tempo, Conti è diventata la più grande operazione di ransomware, trasformandosi lentamente in un sindacato di criminalità informatica quando ha rilevato le operazioni di TrickBot, BazarLoader ed Emotet.

Tuttavia, è stato solo quando Conti si è schierato con l’invasione russa dell’Ucraina che il marchio Conti è diventato “trabballante” e il loro destino segnato.

Dopo essersi schierato con la Russia, un ricercatore di sicurezza ucraino ha iniziato a far trapelare oltre 170.000 conversazioni di chat interne tra i membri della banda di ransomware Conti e il codice sorgente del ransomware Conti .

Una volta che questo codice sorgente è diventato pubblico, altri attori delle minacce hanno iniziato a utilizzarlo nei propri attacchi, con un gruppo di hacker che utilizzava il ransomware Conti negli attacchi contro entità russe.

Il governo degli Stati Uniti considera Conti uno dei ceppi di ransomware più costosi mai creati, con migliaia di vittime e oltre 150 milioni di dollari in pagamenti di riscatto.

Gli exploit della banda di ransomware Conti hanno portato il governo degli Stati Uniti a offrire una ricompensa fino a 15.000.000 di dollari per l’identificazione e l’ubicazione dei membri di Conti in ruoli di leadership.

Fonte
https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/amp/

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.