Conti è un nome piuttosto noto nel settore della sicurezza informatica. Il gruppo russo ha effettuato numerosi attacchi ransomware a partire da fine 2019. Uno dei più recenti ha costretto il Presidente del Costa Rica a dichiarare lo stato di emergenza nazionale. Secondo le rilevazioni di Group-IB, i cybercriminali hanno colpito oltre 40 aziende in un mese, mentre le vittime sono state oltre 850 in due anni.
ARMattack: campagna ransomware breve ma efficace
Conti domina la scena ransomware dal 2020, quando la gang ha pubblicato online i dati di 173 vittime. Il numero è aumentato a 530 nel 2021. Tra il 17 novembre e il 20 dicembre 2021 sono state colpite oltre 40 aziende nel mondo, la maggioranza delle quali si trova negli Stati Uniti (37%). La campagna, denominata ARMattack da Group-IB, è stata la più breve e più produttiva per il gruppo russo.
Dopo aver ottenuto l’accesso alle reti aziendali (direttamente o tramite IAB), Conti inizia a raccogliere documenti riservati e cercare file contenenti password. Successivamente i cybercriminali acquisiscono i privilegi necessari, accedono a tutti i dispositivi in rete e installano il ransomware. Viene quindi chiesto un riscatto in criptovalute.
L’attacco più rapido (dall’accesso iniziale alla distribuzione del ransomware) è durato solo tre giorni. Il gruppo opera come una vera e propria azienda. L’orario di lavoro è circa 14 ore al giorno (Capodanno e weekend esclusi). Ci sono reparti che si occupano di ricerca e sviluppo, risorse umane, pagamento degli stipendi e supporto clienti.
Conti collabora con altri gruppi, tra cui HelloKitty, AvosLocker, Hive, BlackCat, BlackByte e LockBit. A fine maggio è stata avviata una “ristrutturazione aziendale” con la creazione di gruppi di minore dimensione. Il nome Conti non verrà più utilizzato, ma gli attacchi continueranno.
Il Dipartimento di Stato degli Stati Uniti ha offerto una ricompensa fino a 15 milioni di dollari a chiunque fornisca informazioni sulla posizione e l’identità dei leader della gang. Per limitare i rischi è sempre consigliato l’uso di soluzioni di sicurezza efficaci, come quelle di Bitdefender.