Group-IB presenta la sua analisi su ARMattack la campagna del gruppo ransomware Conti, durata solo un mese ma estremamente efficace.

Conti

Group-IB, player di cybersecurity con sede a Singapore, presenta la sua analisi su ARMattack, una delle campagne più brevi ma di maggior successo della gang del ransomware di lingua russa Conti. In poco più di un mese, la nota banda di cybercriminali ha colpito oltre 40 aziende in tutto il mondo. Secondo il rapporto di Group-IB “Conti Armada: la campagna ARMattack”, l’attacco più rapido ha richiesto solo tre giorni. In due anni, questi operatori ransomware hanno mietuto più di 850 vittime (di cui 25 italiane), tra cui figurano aziende, agenzie governative e persino un intero Paese. La ricerca approfondisce la storia e le principali tappe di una delle operazioni ransomware più aggressive e organizzate.

Un doppio colpo

Conti è considerata una delle gang del ransomware di maggior successo. L’esistenza dell’organizzazione è stata rilevata per la prima volta nel febbraio 2020, quando file nocivi con estensione “.conti” sono finiti sotto i riflettori dei ricercatori di Group-IB. Le prime versioni beta del malware risalgono tuttavia al novembre 2019.

Dal 2020, Conti domina la scena del ransomware insieme a Maze ed Egregor per numero di aziende i cui dati sono stati criptati. Nel 2020, il gruppo ransomware ha pubblicato i dati di 173 vittime sulla propria piattaforma di divulgazione dei dati (DLS). A fine 2021, con i dati appartenenti a 530 aziende pubblicati sul DLS, Conti si è affermato come uno dei gruppi più grandi e aggressivi. Nel 2022, in soli quattro mesi, il gruppo ha pubblicato informazioni appartenenti a 156 aziende, per un totale di 859 vittime, di cui 25 italiane, i cui dati sono stati pubblicati sul DLS in due anni. 46 solo nel mese di aprile 2022. Si ritiene tuttavia che il numero effettivo di vittime sia significativamente più alto.

Conti

Senza sosta

Conti e i suoi affiliati attaccano spesso e rapidamente. Gli esperti di Group-IB hanno analizzato una delle campagne più veloci e fruttuose del gruppo, denominata in codice “ARMattack”. La campagna è durata solo un mese (dal 17 novembre al 20 dicembre 2021), ma si è rivelata estremamente efficace, compromettendo oltre 40 organizzazioni in tutto il mondo. La maggior parte degli attacchi è stata condotta negli Stati Uniti (37%), ma anche l’Europa ne è stata interessata, con vittime in Germania (3%), Svizzera (2%), Paesi Bassi, Spagna, Francia, Repubblica Ceca, Svezia e Danimarca (1% ciascuno). Il gruppo ha attaccato anche organizzazioni negli Emirati Arabi Uniti (2%) e in India (1%).

Conti

I cinque settori storicamente presi di mira più di frequente da Conti sono quello manifatturiero (14%), immobiliare (11,1%), logistico (8,2%), dei servizi professionali (7,1%) e commerciale (5,5%). Dopo aver ottenuto l’accesso all’infrastruttura di un’azienda, gli attori della minaccia esfiltrano documenti specifici (il più delle volte per determinare con quale organizzazione hanno a che fare) e cercano file contenenti password (sia in chiaro che criptate). Infine, dopo aver ottenuto i privilegi necessari e l’accesso a tutti i dispositivi di loro interesse, gli hacker vi installano il ransomware e lo eseguono.

Secondo il Group-IB Threat Intelligence Team, l’attacco più veloce della banda è stato portato a termine in tre giorni esatti, dall’accesso iniziale alla crittografia dei dati. Group-IB ha anche analizzato per la prima volta gli “orari di lavoro” di Conti, rilevando che, molto probabilmente, i membri del gruppo sono collocati in regioni con fusi orari diversi. Tuttavia, la tabella di marcia testimonia l’elevata efficienza del gruppo: in media, Conti “lavora” 14 ore al giorno. Niente vacanze (ad eccezione delle festività di fine anno), niente fine settimana. L’attività inizia verso mezzogiorno (GMT+3) e scema solo dopo le 21.00.

La zona geografica degli attacchi di Conti è vasta, ma non comprende la Russia. Il gruppo aderisce chiaramente alla tacita regola tra i cybercriminali di lingua russa di non attaccare le aziende russe. La maggior parte degli attacchi sono perpetrati ai danni di organizzazioni negli Stati Uniti (58,4%), seguiti da Canada (7%), Regno Unito (6,6%), Germania (5,8%), Francia (3,9%) e Italia (3,1%).

Un’altra ragione per non prendere di mira le aziende russe è che i principali membri di Conti si definiscono “patrioti”. Questo fatto è stato la causa di un “conflitto interno” al gruppo nel febbraio 2022, che ha portato alla divulgazione online di alcune informazioni di Conti particolarmente rilevanti. I dati pubblicati includevano chat private, elenchi dei server utilizzati e delle vittime oltre ai dettagli di portafogli Bitcoin, contenenti oltre 65.000 BTC. Le chat trapelate hanno rivelato che il gruppo era reduce da gravi difficoltà finanziarie e che il capo si era dato alla macchia. Tuttavia, i suoi membri sarebbero stati prontissimi a riavviare il progetto dopo 2-3 mesi.

Nonostante la “pugnalata alle spalle” e la maggiore attenzione da parte delle forze dell’ordine, gli appetiti di Conti continuavano ad aumentare. Hanno quindi attaccato non solo grandi aziende, ma anche interi Paesi. La “guerra informatica” del gruppo contro la Costa Rica nell’aprile 2022 è sfociata nella dichiarazione dello stato di emergenza.

Programma di incentivi

Conti ha lavorato a stretto contatto con altri operatori di ransomware come Ryuk, Netwalker, LockBit e Maze. Ha persino testato il ransomware di Maze, ne ha effettuato il reverse-engineering e ha quindi migliorato in modo significativo il proprio. Un’analisi della campagna ARMattack ha rivelato che l’arsenale del gruppo comprendeva non solo strumenti Windows precedentemente descritti, ma anche ransomware Linux: Conti e Hive.

Detto questo, il gruppo tende a creare strumenti unici senza riciclare frammenti di codice. In questo modo, se messo a confronto, il codice dei loro strumenti non consente di identificare schemi comuni. Prima che le chat trapelassero, i ricercatori di cybersicurezza potevano solo supporre che alcuni programmi di affiliazione RaaS (Ransomware-as-a-service) fossero in realtà divisioni di Conti. Allo stesso tempo, l’interazione era ampia. A volte Conti utilizzava l’accesso alla rete di altri broker di accesso iniziale, altre volte la gang condivideva il proprio accesso per un modesto 20% degli introiti.

Proprio come nelle aziende IT legittime, il gruppo ransomware ha un reparto per la gestione del personale, di Ricerca e Sviluppo e di Open Source Intelligence (OSINT). Ci sono team leader, stipendi regolari e un programma di incentivi.

Una delle caratteristiche distintive di Conti è lo sfruttamento di nuove vulnerabilità, per ottenere l’accesso iniziale. Ad esempio, il gruppo si è visibilmente avvalso delle recenti vulnerabilità CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 nel modulo log4j. Meno di una settimana dopo, ha sfruttato queste vulnerabilità per attaccare i server vCenter. Le chat trapelate mostrano anche che il gruppo monitora attentamente le nuove vulnerabilità. Uno dei compiti affidati dal CEO di Conti al team tecnico è stato quello di monitorare gli aggiornamenti di Windows e analizzare le modifiche apportate con le nuove patch, il che evidenzia ancora una volta la necessità di installare gli aggiornamenti il prima possibile. Inoltre, il team di Conti comprende specialisti con esperienza nella scoperta di vulnerabilità zero-day.

L’aumento dell’attività di Conti e la divulgazione dei dati suggeriscono che il ransomware non è più un gioco tra sviluppatori di malware qualunque, ma un’industria RaaS illecita che dà lavoro a migliaia di cybercriminali in tutto il mondo con varie specializzazioni”, afferma Ivan Pisarev, responsabile del Dynamic Malware Analysis Team del dipartimento Threat Intelligence di Group-IB. “In questo ambito, Conti è un noto protagonista, che ha di fatto creato una “società IT” il cui obiettivo è quello di estorcere somme ingenti. È difficile prevedere cosa accadrà a Conti in futuro, ovvero se continuerà a lavorare dopo un rebranding di ampia portata o se sarà diviso in sottoprogetti più piccoli. È chiaro, tuttavia, che il gruppo continuerà a operare, da solo o con l’aiuto di progetti delle sussidiarie”.

Come d’abitudine, il rapporto analitico di Group-IB intitolato “Conti Armada: la campagna ARMattack” fornisce alle aziende e agli specialisti indicatori di compromissione e informazioni su tecniche, tattiche e strumenti di Conti mappati sulla matrice MITRE ATT&CK.