Che cos'è il ransomware Conti?

Nel contesto della sicurezza informatica, Conti riporta alla mente gruppi di hacker nefasti in grado di paralizzare i sistemi e le reti più sicuri. Il documento descrive inoltre un sofisticato ransomware sviluppato e utilizzato dai suddetti criminali per colpire organizzazioni in tutto il mondo. Sebbene sia stato attivo solo per pochi anni, il gruppo ransomware Conti, sostenuto dai russi, ha utilizzato strumenti dannosi di ogni tipo e tattiche di estorsione aggressive per sottrarre centinaia di milioni di dollari. Sebbene il gruppo sia ormai defunto, Conti e altri strumenti ransomware simili sono vivi e vegeti.

Quando un criminale informatico implementa Conti sulla rete di una vittima, si diffonde rapidamente crittografando e trasferendo i dati in una posizione in remoto. L'obiettivo è il controllo completo dei dati di una vittima, fino a un riscatto imposto sotto forma di doppia estorsione. Senza una chiave di decrittazione, le vittime non possono più accedere ai dati. Nel frattempo, dato che l'malintenzionato ha scaricato anche i dati, aggiunge un ulteriore tentativo di estorsione minacciando di rilasciare informazioni riservate. Sebbene entrambi gli scenari (perdita di accesso ai dati e fuga di informazioni riservate) possano causare gravi danni a un'organizzazione, il pagamento di una richiesta di riscatto spesso non migliora la situazione.

Come funziona

Il gruppo Conti operava come un programma di affiliazione Ransomware-as-a-Service (RaaS). Il gruppo è emerso nel 2019, prendendo il posto di un'altra banda, e ha iniziato a offrire la sofisticata tecnologia ransomware Conti in vendita o in affitto agli affiliati che eseguono gli attacchi. Un attacco richiede l'implementazione del ransomware Conti, anche se nella maggior parte dei casi un malintenzionato opera fisicamente per crackare i sistemi usando un'ampia varietà di strumenti e tecniche.

Per questo motivo, le organizzazioni devono prepararsi a qualsiasi eventualità. Un buon punto di partenza è il framework ATT&CK, sviluppato dall'organizzazione no-profit MITER. Questo framework è una base di conoscenza completa degli attacchi e delle strategie di risposta. È sviluppato osservando gli attacchi informatici del mondo reale e fornisce procedure dettagliate per aiutare le organizzazioni a identificare e difendersi da queste minacce.

Accesso iniziale

Un attacco ransomware inizia con un tentativo di accesso alla rete della vittima. Un approccio tipico prevede attacchi di phishing tramite e-mail con allegato un documento Word o un file zip apparentemente innocuo. Tuttavia, questi allegati sono malware che implementano exploit di primo livello, come Cobalt Strike. Un altro approccio prevede la ricerca di porte RDP aperte tramite scansioni di rete e l'utilizzo di tali porte per accedere con credenziali rubate. Una volta all'interno, gli aggressori utilizzano una varietà di strumenti (sia dannosi che open source) per navigare nella rete, individuare i data store e compromettere la sicurezza. Questo è il motivo per cui un provisioning accurato e una sicurezza rigorosa sono essenziali per le organizzazioni con accesso di lavoratori in remoto.

Altre tecniche sfruttano i punti deboli di strumenti standard come Active Directory, che memorizza gli hash delle password su disco e in memoria. Sono facilmente rintracciabili con strumenti come mimikitz, che forniscono ai malintenzionati le credenziali amministrative e un ampio accesso alla rete e ai suoi dati. Per qualsiasi azienda che utilizza Windows Server, implementare la protezione interna per Active Directory è una decisione saggia.

Movimento laterale

Una volta che gli aggressori violano una rete, implementano il ransomware Conti, consentendone la diffusione in tutta la rete. Mentre si diffonde, il codice avanzato di Conti utilizza una tecnica di multithreading per criptare rapidamente i dati, impiegando molteplici soluzioni di offuscamento per eludere vari livelli di sicurezza. Questa strategia massimizza il danno che Conti infligge prima che le soluzioni endpoint possano rilevare e bloccare l'attacco.

Conti deve la sua velocità ed efficienza di propagazione al movimento laterale su una rete, in particolare al protocollo Server Message Block (SMB). Tutti i sistemi Microsoft Windows utilizzano SMB per comunicare con i dispositivi, come le stampanti di rete. Anziché seguire i dispositivi di rete convenzionali, Conti si diffonde attraverso il protocollo SMB, rendendo estremamente difficile il rilevamento e il contenimento. La configurazione del parametro del client SMB di Windows aiuta a mitigare questo approccio laterale. 

Esfiltrazione e crittografia

Una volta che la rete è stata completamente violata, i malintenzionati utilizzano strumenti open-source, come Rclone, per esfiltrare i dati della vittima verso un provider di cloud storage. L'obiettivo è impedire la segnalazione da parte dei sistemi di sicurezza che monitorano le attività di rete sospette. Nel frattempo, gli aggressori tentano anche di eliminare o danneggiare i backup come parte integrante della loro strategia. Ciò rende più difficile per le vittime ripristinare i dati senza pagare un riscatto. Molti team trascurano la strategia di mantenere i backup sicuri in un luogo isolato, ma questa svista può rivelarsi costosa se c'è di mezzo il ransomware.

Estorsione (ransomware)

I malintenzionati spesso trascorrono giorni o settimane all'interno di una rete, criptando e trasferendo i dati e cestinando i backup. Quando chiedono un riscatto, è già troppo tardi: I dati della vittima sono già crittografati, il che li rende inaccessibili senza la chiave di decrittazione. Gli attori chiedono milioni di dollari in cambio di questa chiave e, poiché la perdita di così tanti dati è devastante per qualsiasi organizzazione, queste richieste vengono spesso soddisfatte.

Un attacco Conti comporta anche la minaccia di una fuga di dati. Gli attori impongono un ulteriore livello di estorsione minacciando di divulgare informazioni sensibili a meno che le vittime non paghino le loro richieste di riscatto. La minaccia di esporre dati aziendali o dei clienti riservati costringe molte aziende a pagare il riscatto.

La storia e il futuro degli attacchi Conti

La banda del ransomware Conti si è affermata come uno dei gruppi criminali informatici più temuti e famigerati della storia. Nel giro di pochi anni, il gruppo ha coordinato numerosi attacchi di alto profilo, tra cui attacchi informatici ad aziende, strutture sanitarie, comuni e persino governi nazionali.

Formazione, composizione e struttura

Apparso intorno al 2019 o 2020, il gruppo Conti si è formato per sostituire Ryuk, un'altra banda di ransomware e hacker. Come il suo predecessore, la maggior parte degli analisti di sicurezza ritiene che Conti sia stato guidato da hacker con legami russi. Operando come un'organizzazione Ransomware-as-a-Service, il gruppo ha affittato la sua tecnologia e la sua infrastruttura ad altri gruppi e hacker che le avrebbero utilizzate per lanciare attacchi. Il gruppo Conti riceveva commissioni per gli attacchi riusciti.

Parte dell'infrastruttura di Conti era un sito web utilizzato per far trapelare dati riservati esfiltrati durante gli attacchi riusciti. Il sito è stato lanciato nell'agosto 2020 e, alla fine dello stesso anno, aveva fatto trapelare i dati di oltre 150 organizzazioni. Mentre fornire malware e infrastrutture ad altri hacker in cambio di profitti non è insolito nel crimine informatico, l'approccio del gruppo Conti è stato unico.

Il gruppo Conti ha assunto un ruolo più attivo negli attacchi, arrivando persino ad assumere hacker come dipendenti. Ha utilizzato pratiche commerciali comuni alle aziende tecnologiche, impegnandosi in sforzi di reclutamento con promesse di benefit e stipendi elevati. A un certo punto, si era persino formato un dipartimento delle risorse umane. Non deve sorprendere che il gruppo Conti sia stato ed è tuttora considerato un sindacato criminale.

Attacchi degni di nota

Nel marzo 2021, Conti si è infiltrato nell'Health Service Executive irlandese, ottenendo l'accesso all'intera rete, inclusi 70.000 dispositivi. Il 14 maggio 2021, Conti aveva crittografato terabyte di dati, disabilitando l'infrastruttura dell'ospedale. Conti ha dichiarato di aver esfiltrato più di 700 GB di dati, comprese informazioni personali su pazienti, dipendenti e appaltatori. Il gruppo ha chiesto 20 milioni di dollari per annullare le proprie azioni.

Micheal Martin, all'epoca primo ministro irlandese, annunciò in televisione che il governo non avrebbe pagato il riscatto. Il 20 maggio, l'FBI ha rilasciato una dichiarazione che delinea attacchi simili da parte di Conti alle reti sanitarie e di primo soccorso negli Stati Uniti e nel mondo, chiedendo qualsiasi informazione sulle operazioni del gruppo.

Il 29 settembre 2021, JVCKenwood ha rivelato che alcuni dei suoi server in Europa erano stati violati e che i dati dei clienti potrebbero essere stati compromessi. Il giorno seguente, il sito di notizie Bleeping Computer ha ricevuto una copia della nota di riscatto inviata a JVCKenwood, che identifica Conti come responsabile dell'attacco e della richiesta di riscatto. Il gruppo ha dichiarato nella nota di aver rubato quasi 2 TB di dati, per i quali ha chiesto $7 milioni.

Nel maggio 2021, un attacco simile si è verificato a Tulsa, in Oklahoma, quando un ransomware ha bloccato la rete della città, causando interruzioni dei suoi sistemi online. Il gruppo Conti ha rivendicato la responsabilità, pubblicando quasi 19.000 file, per lo più citazioni della polizia e documenti interni di Word. In risposta, la città ha emesso un avvertimento che le informazioni personali sono state esposte nei file trapelati.

L'attacco più noto di Conti è avvenuto da metà aprile a fine maggio 2022. Dopo aver sopportato settimane di attacchi in Costa Rica, il governo ha dichiarato l'emergenza nazionale, il primo paese a farlo in risposta a un attacco informatico. La banda di ransomware ha attaccato le reti e i sistemi di decine di enti governativi, tra cui il Ministero delle Finanze e il Ministero del Lavoro e della Previdenza Sociale. I devastanti attacchi sono costati al governo milioni di dollari e hanno dimostrato che un gruppo di hacker può distruggere un intero Paese.

Rebrand

Molte società di sicurezza informatica ritengono che l'attacco della banda Conti al Costa Rica sia stato uno stratagemma elaborato per attirare l'attenzione dai suoi sforzi di rebranding. Poco prima dell'inizio dell'attacco, il gruppo aveva già avviato il processo di smantellamento del marchio Conti. Nel maggio 2022, la società di cybersicurezza AdvIntel ha dichiarato il gruppo criminale di hacker ufficialmente morto.

Anche se nessuno lo sa con certezza, molti esperti ritengono che il gruppo si sia sciolto a causa delle divisioni interne in seguito all'invasione dell'Ucraina da parte della Russia il 24 febbraio 2022. Il giorno dopo l'inizio dell'invasione, Conti ha annunciato il suo sostegno alla Russia. Due giorni dopo, il 27 febbraio, un nuovo account Twitter ha fatto trapelare oltre 170.000 registri di chat interne al gruppo, nonché il codice sorgente del ransomware Conti.

La fuga di notizie ha fornito un tesoro di informazioni agli analisti della sicurezza, tra cui gli strumenti e i metodi esatti utilizzati dagli hacker per infiltrarsi nelle organizzazioni di tutto il mondo. Ha anche dimostrato quanto fosse ben organizzato il gruppo, operando come una startup high-tech con posizioni e gerarchie consolidate, tra cui programmatori, amministratori di sistema, reclutatori e dirigenti.

Il 24 giugno, un mese dopo la fine dell'attacco al Costa Rica, l'ultimo sito Web del gruppo Conti è stato oscurato, segnando la fine di una delle più famose organizzazioni di criminali informatici della storia. Ma gli hacker senza volto che hanno reso Conti quello che era non sono andati in prigione o sono scomparsi. Mentre era in corso il loro attacco finale, si dispersero silenziosamente, passando a nuovi gruppi e bande.

Come rilevare un attacco Conti

Un attacco Conti è, per definizione, multiforme. Coinvolge più vettori di attacco che di solito si verificano nell'arco di diversi giorni. Poiché i malintenzionati utilizzano strumenti comuni e facilmente reperibili nel corso dell'attacco, il rilevamento risulta complesso. Tuttavia, ci sono segnali per coloro che sanno cosa cercare. Un metodo è il monitoraggio diligente della rete. Gli strumenti di monitoraggio in tempo reale possono avvisare gli amministratori quando un evento raggiunge una certa soglia, ad esempio tentativi di accesso non riusciti o la scansione di più porte.

Un altro indicatore è l'aumento delle e-mail di phishing. Gli aggressori ransomware utilizzano il phishing per rubare credenziali, compromettere i sistemi sulla rete e ottenere l'accesso. Le aziende possono migliorare le probabilità di individuare un attacco nelle sue prime fasi assicurandosi che i dipendenti identifichino e segnalino correttamente le e-mail sospette, allertando così i team di sicurezza.

Come mitigare un attacco Conti

L'implementazione dell'autenticazione a più fattori (MFA) per tutti gli utenti è una delle misure più efficaci per proteggere l'organizzazione da attacchi ransomware come quello di Conti. L'autenticazione a più fattori (MFA) richiede agli utenti di avere due o più forme di identificazione per accedere ad account sicuri, rendendo estremamente difficile per gli hacker ottenere l'accesso tramite password compromesse.

L'implementazione e il mantenimento di una solida segmentazione della rete è un altro passo per proteggere la tua organizzazione dalle minacce ransomware. La segmentazione della rete aiuta a ridurre la diffusione del malware isolando le reti e le funzioni l'una dall'altra, impedendo il movimento laterale di ransomware come Conti. 

Altre strategie di sicurezza comprendono:

• Utilizzo di software di sicurezza: sfrutta gli strumenti di risposta agli endpoint e al rilevamento per aumentare la visibilità sulla sicurezza degli endpoint e proteggerti dai criminali informatici. Configura programmi antivirus e antimalware per eseguire scansioni regolari delle risorse di rete con firme aggiornate.
• Limitazione dell'accesso alla rete: limita il protocollo desktop remoto (RDP) se non viene utilizzato. Se si ritiene necessario un RDP, limita le fonti di origine e richiedi l'autenticazione a più fattori (MFA) dopo aver valutato i rischi.
• Sfruttare le policy delle applicazioni:  garantire che tutto il software connesso alla rete, inclusi i sistemi operativi e le applicazioni, venga aggiornato tempestivamente. Prendi in considerazione l'utilizzo di un sistema di gestione delle patch centralizzato per definire i criteri.
• Gestione della sicurezza delle applicazioni:  rimuovi tutte le applicazioni non necessarie dalle operazioni quotidiane, poiché gli attori delle minacce Conti sfruttano molti strumenti predefiniti durante gli attacchi. Per vedere quale software prontamente disponibile stanno utilizzando i criminali informatici, monitora l'elenco degli strumenti di CISA.

Garantire che la tua organizzazione disponga di backup sicuri come difesa dal ransomware è il modo più efficace per annullare l'impatto dell'estorsione di dati. Sviluppando una strategia di backup solida e sicura, le organizzazioni si proteggono dalla perdita di dati dovuta alla crittografia e all'esfiltrazione.

Cosa fare in caso di infezione

La sicurezza informatica è una battaglia costante. Le organizzazioni con misure di sicurezza estremamente vigili possono comunque soccombere a un exploit appena scoperto. Sapere come gestire un attacco ransomware può evitare esiti peggiori in queste situazioni. Il peggior risultato possibile è il pagamento di una richiesta di riscatto.

Le organizzazioni non dovrebbero pagare riscatti in attacchi ransomware. Le società di sicurezza indipendenti, così come la CISA, l'FBI e la NSA, lo scoraggiano all'unanimità. In questo modo si incoraggiano ulteriori attacchi da parte dei malintenzionati originari e di nuovi gruppi. Se le persone decidono di non fornire la chiave di decrittazione una volta pagato il riscatto, l'organizzazione si trova in una situazione peggiore di quella iniziale.

Invece, segui i passaggi seguenti, come raccomandato dall'organizzazione sopra menzionata:

1. Attieniti alla lista di controllo per la risposta al ransomware nella Guida congiunta sul ransomware.
2. Se possibile, scansiona i backup dei dati con un programma antivirus per assicurarti che non siano infetti.
3. Segnala immediatamente l'incidente al CISA, a un ufficio locale dell'FBI o a un ufficio del Servizio Segreto degli Stati Uniti.

In caso di attacco, le organizzazioni devono agire rapidamente per contenere il danno e prevenire un'ulteriore diffusione. Prima di iniziare il ripristino, è essenziale identificare il tipo di ransomware coinvolto e determinare l'entità del danno. Gli sforzi devono concentrarsi sul ripristino dei sistemi e dei dati più critici, con un approccio prioritario per ridurre al minimo le interruzioni e limitare l'impatto dell'attacco.

Ripristinare i dati da un attacco ransomware è scoraggiante. Il ripristino di sistemi, servizi e dati è dispendioso in termini di tempo e denaro, senza contare l'interruzione causata alle operazioni aziendali. Comunicare con le parti interessate e i clienti è vitale, ma ricostruire le relazioni è altrettanto importante. La conclusione è che una strategia di backup e ripristino completa, oltre a condurre test regolari, riduce al minimo i rischi di uno scenario peggiore per qualsiasi attacco ransomware.

Come può aiutare Veeam

La protezione ransomware più efficace dagli attacchi Conti e simili è una solida strategia di backup e ripristino dei dati. Grazie all'approccio previeni, rileva e ripristina di Veeam, le organizzazioni possono mitigare l'impatto del ransomware prevenendo la perdita di dati dovuta a crittografia o danneggiamento. Nessuna organizzazione è immune da un attacco ransomware, ma Veeam può aiutare a proteggere i dati da perdite irreparabili e a prevenire il coinvolgimento con turbolenti gruppi di criminali informatici.