In seguito all’invasione dell’Ucraina da parte della Russia è iniziata una guerra digitale tra due fazioni di cybercriminali. Da una parte ci sono quelli che appoggiano il governo di Kiev (come il collettivo Anonymous), dall’altra ci sono i fan di Putin. Il gruppo Conti, responsabile di numerosi attacchi ransomware, aveva espresso il “pieno supporto al governo russo“. Un ricercatore di sicurezza ucraino ha messo in atto la sua vendetta, pubblicando le chat interne della gang che svelano interessanti informazioni.
Attaccati con le stesse armi digitali
Inizialmente si pensava che il leak fosse opera di un membro del gruppo Conti originario dell’Ucraina. Invece l’accesso al backend del server Jabber/XMPP, usato dai cybercriminali come sistema di comunicazione, è stato effettuato da un ricercatore di sicurezza ucraino che ha pubblicato online oltre 60.000 messaggi scambiati tra il 21 gennaio 2021 e il 27 febbraio 2022. Le conversazioni svelano diverse informazioni sulle attività della gang.
BREAKING: @HoldSecurity tells me Conti's systems have been infiltrated by cybercrime researchers for some time. The data was dumped by a Ukrainian cyber security researcher pissed off after Conti expressed support for Russia in the conflict. #infosecurity
— The Ransomware Files (@jkirk@infosec.exchange) (@ransomwarefiles) February 28, 2022
Alcuni messaggi contengono i nomi di vittime che hanno pagato il riscatto, gli indirizzi di portafogli Bitcoin, screenshot di tool interni e conferme sul legame tra Conti e altri due noti gruppi (TrickBot e Emotet). Sicuramente il leak non fermerà i cybercriminali, ma le informazioni potrebbero essere utili alle forze dell’ordine.
Pochi giorni fa, il gruppo Conti ha pubblicamente dichiarato che, in caso di attacchi informatici contro la Russia, avrebbe usato tutte le sue risorse per “colpire le infrastrutture critiche del nemico“. Il post sul blog nel dark web è stato successivamente modificato per evidenziare che la gang non appoggia nessun governo, ma vuole solo proteggere i cittadini russi.
Un altro noto gruppo (LockBit) ha invece manifestato la totale neutralità, spiegando che sono solo interessati al denaro e quindi non effettueranno mai attacchi contro infrastrutture critiche.
Aggiornamento (02/03/2022): online un secondo leak che include, tra le altre cose, il codice sorgente del ransomware impiegato negli attacchi.
Consulta tutte le ultime offerte di Punto Informatico.