Quando si getta un ransomware nel ventilatore, non si sa mai chi lo prenderà in faccia. Così è successo anche in relazione al ransomware sviluppato dal gruppo Conti: pensato per attaccare il mondo occidentale, il ransomware ha in realtà avuto un effetto boomerang che, a lungo andare, si è ritorto contro quelle stesse infrastrutture russe che nell’attività di Conti non vedevano reali insidie. Il malware di Stato, dall’essere strumento di offesa, è diventato un pericolo interno ed ora sta imperversando negli apparati che il Cremlino riteneva a buon diritto immuni al problema.
La lezione è chiara: in tempo di cyberwar è meglio mettersi al riparo. McAfee, ad esempio, ha identificato fin al 2020 i codici provenienti da Conti, creando una prima barriera contro i ransomware quando ancora il fronte ucraino non era attenzionato ai più. Ora, a conflitto deflagrato, quegli stessi codici stanno percorrendo una strada inversa.
Il ransomware che non Conti
Quando il codice del ransomware Conti è comparso online, da un momento all’altro la situazione è sfuggita di mano agli sviluppatori e il pallino del gioco è passato al gruppo NB65. Qui il ransomware Conti è mutato, è stato riadattato ed in breve è diventato un messaggio lanciato oltre la cortina di ferro virtuale tra Occidente e Federazione Russa. Grazie a questa rielaborazione, il gruppo NB65 ha trafugato centinaia di GB di materiale, migliaia di email e tutto quanto pubblicato nei leak di queste settimane. Tra le entità sotto attacco si contano già Tensor, VGTRK e Roscosmos, con richieste di riscatto che NB65 intende devolvere alla causa ucraina: oltre al danno, insomma, ecco anche la beffa.
We're happy you asked. If ransom demands are met the payment will be donated to humanitarian efforts in #Ukraine #FCKPTN https://t.co/wCR5FWK9xD
— NB65 (@xxNB65) April 5, 2022
Nel codice c’è anche un messaggio destinato direttamente al Cremlino, accusando Putin della situazione in atto ed affermando che la pressione non terminerà fin quando non si porrà fine all’invasione. Quella cybersecurity su cui si pensava che la Russia avrebbe scommesso parte dei propri sforzi, insomma, è diventata un fronte di difesa e gli apparati statali iniziano a pagarne pegno.
Greetings continent[dot]ru (Continent Express).
You have the unfortunate circumstance of being hacked sideways.
It appears like you've started rotating some credentials and closing accounts… it's going to take more than that.
You can blame your President for all of this. pic.twitter.com/UYac6vdoRZ
— NB65 (@xxNB65) April 5, 2022
Nasceva però tutto da un codice “made in Russia”, quello stesso codice che McAfee mette al centro delle proprie attenzioni ormai da quasi 3 anni e che i principali antivirus sulla piazza hanno imparato a gestire. Ma il codice di ritorno è mutato, è stato affinato per colpire in modo specifico e nel ventilatore della cyberwar tocca ora alla Russia pagarne le conseguenze.