Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La resa dei “Conti” dei messaggi di guerra.

Emanuele De Lucia : 28 Febbraio 2022 14:22

Autore: Emanuele De Lucia
Data Pubblicazione: 28/02/2022

Il sindacato di ransomware di lingua russa Conti qualche giorno fa ha rilasciato e successivamente modificato un annuncio che ha descritto in dettaglio la propria posizione politica in merito al conflitto tra Russia e Ucraina. Ha annunciato chiaramente che eserciterà le proprie capacità contro qualsiasi tentativo degli Stati Uniti e in generale di qualsiasi altro Paese che abbia rappresentato una minaccia per il governo Russo.


In dettaglio l’organizzazione ha annunciato di essere “in pieno sostegno del governo russo” e che

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

“qualsiasi azione contro la Russia, virtuale o meno, incontrerebbe un contrattacco contro le infrastrutture critiche dei suoi aggressori”.

Il post, tuttavia, è stato successivamente redatto e sostituito qualche ora dopo con un annuncio dai toni più leggeri che condannava la guerra mantenendo tuttavia le minacce di ritorsione a fronte di qualsiasi aggressione verso la Russia.

Sebbene non siano chiare le ragioni della scelta di rielaborare l’annuncio originale, è comunque possibile ipotizzare che gli amministratori del gruppo abbiano considerato qualche potenziale scenario futuro in grado di incidere pesantemente sui loro interessi e abbiano quindi corretto il tiro editando l’annuncio originale.

Si sono dunque probabilmente resi conto del loro errore e hanno cercato di sistemare le cose modificando il loro post sul blog per avere un tono più neutro, ma è chiaro che a quel punto fosse già tardi.

Malgrado è possibile ipotizzare che la gang abbia considerato, anche se in ritardo, eventuali rischi provenienti dall’esterno causati da una presa di posizione politica così netta, evidentemente non ha considerato quelli che sarebbero nati dal loro stesso interno.

Il 28.02.2022, infatti, quello che si crede essere uno dei membri del gruppo Conti di origine Ucraina ha pubblicato un archivio contenente conversazioni Jabber private relative a membri del gruppo in esplicita risposta al supporto di Conti per il governo Russo. Ha creato un account dedicato su Twitter in cui ha pubblicato un collegamento per il download di un archivio di ca 1,7 Mb.

Conti Leak Twitter Account
Original leak announcement

Una prima analisi suggerisce che il team abbia utilizzato un server dedicato appositamente reperito per le loro conversazioni. Questa è una pratica piuttosto comune a molti gruppi criminali in quanto assicura livelli di privacy sulle conversazioni più elevati se in paragone all’utilizzo di server Jabber pubblici o non direttamente gestiti da loro in quanto maggiormente soggetti a controlli di forze di polizia ed in generale dei governi. Curiosamente, il server dedicato sembra essere localizzato all’interno di uno dei Paesi NATO e più precisamente in Lithuania da diverso tempo.

La gang Conti

Il collettivo Conti è fra i più sofisticati ed efficienti gruppi ransomware. Al suo interno è probabilmente diviso in diversi gruppi operativi specializzati in diverse attività. E’ possibile affermare che esso sia fra i gruppi in grado di vantare fra le sue fila alcuni dei più talentuosi cyber-criminali operanti nel panorama underground di lingua russa.

La comunità di sicurezza considera oggi il gruppo Conti come una vera e reale minaccia per qualsiasi organizzazione fosse da loro presa di mira. I suoi membri prestano particolare attenzione alla furtività dei loro payload e delle loro operazioni post-exploitation il che complica le manovre di difesa ed abbassa le probabilità di allerta precoce su eventuali intrusioni ad esso riconducibili.

Conclusioni

Questo leak è una delle conseguenze di settimane di instabilità e tensioni fra i due Paesi. Il conflitto russo-ucraino ha diviso la comunità criminale con una scissione che sembra per molti versi oramai molto netta ed il gruppo Conti non ha saputo interpretare tali malesseri e le potenziali conseguenze da essi generati. Il gruppo Conti è una realtà criminale molto estesa, probabilmente composta da centinaia di individui, anche di origine Ucraina.

Tuttavia, mentre in passato russi ed ucraini univano le forze nell’underground digitale in una sorta di naturale collaborazione fra loro, da qualche giorno non è più così ed è facile pensare che le conseguenze di questo conflitto si faranno sentire per molto tempo anche in questo settore. Dopo quanto accaduto, infatti, è facile prevedere un sostanziale riassesto degli equilibri all’interno di moltissimi collettivi criminali mirati a bilanciare e mitigare i rischi che ideologie individuali potrebbero rappresentare per le singole organizzazioni.

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Lista degli articoli

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...