Un gruppo di cybercriminali, noto come NB65, ha usato il codice sorgente del ransomware Conti per effettuare attacchi contro aziende russe, in risposta all’invasione dell’Ucraina. Un membro del gruppo ha dichiarato che il codice è stato modificato per rendere inutili i decryptor esistenti.
Ransomware Conti contro Roscosmos
Conti è una nota gang russa che aveva manifestato il suo appoggio all’azione militare di Putin. Un ricercatore di sicurezza ucraina ha quindi deciso di attuare la sua vendetta, pubblicando prima le chat interne del gruppo e successivamente il codice sorgente dell’omonimo ransomware.
Il gruppo NB65 ha modificato il codice sorgente per rendere inefficaci i decryptor disponibili ed eseguito vari attacchi contro entità russe, tra cui l’agenzia spaziale Roscosmos, l’azienda Tensor e VGTRK, broadcaster gestito dal governo. In quest’ultimo caso sono stati sottratti oltre 786 GB di dati, incluse 900.000 email e 4.000 file. Non sono note le richieste di riscatto, ma la gang ha comunicato che tutti i pagamenti verranno donati alle organizzazioni umanitarie che operano in Ucraina.
Un sample del codice è stato pubblicato su VirusTotal. Gli esperti di sicurezza hanno verificato che condivide il 66% con il codice originario di Conti. Un portavoce di NB65 ha confermato che gli attacchi contro le aziende russe continueranno finché Putin non cesserà tutte le ostilità in Ucraina. Il gruppo Conti ha colpito sempre obiettivi occidentali. Ora il codice del ransomware che hanno sviluppato verrà utilizzato per attaccare le organizzazioni russe.