There is an underground world that is not reflected in the operations publicly displayed on the site of the Conti ransomware and worth to detail, via the data contained in ContiLeaks
I fatti accaduti al gruppo Conti, noto per gli attacchi di tipo ransomware a vittime di tutto il mondo (per lo più occidentale) sono ormai diffusi e ben documentati. Parlo ovviamente dell’incidente di data leak di cui il gruppo è stato vittima dall’invasione russa dell’Ucraina in poi, o meglio dal loro dichiarato sostegno alla Russia in merito alla guerra cyber eventualmente scaturita.
Perché parlo del gruppo Conti
Non intendo dunque fornire altri riassunti sulla vicenda in se rispetto a quanto già riportato sull’esposizione di dati riservati di Conti e sulla condivisione del contenuto di ContiLeaks con i dettagli.
Per delineare lo scenario nel quale andremo ad immergerci, sappiate solo che Conti è un gruppo ransomware il n. 1 del 2021 per vittime e dati esfiltrati, che si è apertamente schierato pro Russia dall’invasione dell’Ucraina in poi e che un ricercatore informatico ucraino è riuscito ad avere accesso ai propri panel e chat interne esponendone una grande quantità di dati interni e riservati. Il quale studio ha permesso a ricercatori e giornalisti investigativi di delineare aspetti di questo gruppo, mai visti/pensati prima. Qui intendo focalizzarmi proprio su questi aspetti.
Conti e Trickbot non due entità stagne
I dati finora diffusi sono composti da materiale (log di chat) di Conti e di Trickbot, che va dal 20 gennaio 2021 al 27 febbraio 2022, giorno in cui è stato diffuso il primo leak. In un secondo momento è stato aggiunto anche altro materiale che va dal 22 giugno 2020 al 16 novembre 2020. Ho appena nominato anche l’esposizione delle chat di Trickbot, perché come vedremo ci sono molti collegamenti tra le due gang (per ovvi motivi visto che Conti ha utilizzato in gran parte delle sue operazioni, la botnet Trickbot), fatto che ne rende indispensabile l’indagine se decidiamo di trattare il gruppo ransomware Conti.
Da quel 27 febbraio si è scritto tanto sulla gang criminale di ransomware Conti, dopo uno studio più ampio posso però affermare con un importante grado di certezza, che qualsiasi documento atto a delineare aspetti sotterranei e interni di questo gruppo, senza che vi nomini anche Trickbot, si può considerare incompleto. Può sembrare un dettaglio, ma sopratutto per i meno addetti ai lavori, sentir parlare delle due gang come distinte e stagne e del tutto fuorviante. E’ importante invece rimarcare che c’è un’attività intrinseca tra i due gruppi, talmente elevata che a un certo momento le forze lavoro si miscelano proprio, sono le stesse persone.
Va fatto notare anche che analizzando i dati in cronologia temporale, è difficile non rilevare alcune lacune nei dati. Non si tratta di mancanze sui dump, ma proprio delle vere e proprie pause (di riflessione) del gruppo, che da un’analisi investigativa, coincidono proprio con i fatti storici già noti di operazioni di polizia, servizi segreti e infiltrazioni, delle quali sicuramente abbiamo sentito parlare a tempo debito.
Per fare un esempio è lampante il caso di quando ci fu la massiccia operazione che mise fuori uso la botnet Emotet nel gennaio 2021, momento in cui Conti si è dovuta riassestare e far cambiare a tutto il personale accessi, password, nickname!
Altro momento delicato per la gang è giugno 2021 quando ci fu l’arresto di Alla Witte, programmatrice 55enne lettone, accusata di aver preso parte al team di lavoro di Trickbot. Questo avvenimento ci fa capire quando sia importante parlare di Trickbot se vogliamo analizzare Conti. Come rilevato dal ricercatore di sicurezza Brian Krebs infatti, già dal maggio 2021 due membri dei vertici di Conti discutevano di trovare un modo per pagare le spese legali a Witte, rivolgendosi “al migliore avvocato” possibile, intendendo migliore per loro, cioè che conoscesse il giudice e investigatori nell’FBI. In questa maniera l’idea era quella di ottenere, oltre la liberazione della sviluppatrice (per la quale il gruppo Conti era legata anche da affetto personale, come in una relazione mamma-figlio), anche informazioni sulle indagini federali nei confronti di Trickbot.
{
"ts": "2021-05-20T20:59:03.734544",
"from": "mango@q3mcco35auwcstmt.onion",
"to": "stern@q3mcco35auwcstmt.onion",
"body": "they gave me a lawyer, they said the best, plus excellent connections, he knows the investigator, he knows the judge, he is a federal lawyer there, licensed, etc., etc. he got acquainted with the case, he says tin there, of course, but you can come up with something, for a start you need to get the minimum amount, and there you can already stay there before you get out, you won\u2019t be able to sit down"
}
Tutto questo non rimane solo un desiderio dei membri del gruppo, ma effettivamente è stato anche ottenuto nella pratica. Infatti un successivo messaggio del 6 ottobre 2021 testimonia proprio come il gruppo sia stato informato direttamente da un investigatore, circa la riapertura delle indagini sul caso Trickbot e i conseguenti movimenti previsti dall’FBI, con tanto di annuncio della data di chiusura del caso (metà novembre 2021).
Fondamentale dunque anche documentare il viscido coinvolgimento tra FBI, investigatori e Conti, a sottolineare proprio la potenza di fuoco che questa cyber gang ha nei confronti della società. Forse anche in Italia è arrivato il momento di ripensare al concetto di gruppo ransomware come a un bel sito web di vetrina per le vittime infettate alle quali si ruba qualche giga di dati interni. Forse c’è dell’altro e non è poco rilevante.
L’organizzazione criminale Conti è gestita come un’azienda
Grazie ai ContiLeaks sono emerse importanti informazioni anche circa l’organizzazione interna del noto gruppo ransomware. Nello specifico si evince che la gestione sia suddivisa come in una grande azienda economica di cui tutti conosciamo la forma. In sostanza c’è un vertice, con consiglieri, vice e vicini fidati, ci sono i dipendenti e ci sono i responsabili dei vari settori di lavoro.
Dal punto di vista quantitativo, per capire di che dimensioni stiamo parlando, si nota che dal 18 luglio 2021 l’organizzazione aveva 62 dipendenti. Con una prima importante campagna di assunzioni al 30 luglio 2021 diventano 87 e a seguire le assunzioni continuano finché si contano circa 100 dipendenti a regime. Gli stipendi vengono pagati in Bitcoin.
I dipendenti sono suddivisi in base alle loro capacità e alle esigenze dell’organizzazione aziendale in:
- Codificatori: programmatori assunti per scrivere codice dannoso, integrare tecnologie più disparate;
- Tester: lavoratori incaricati di testare il malware Conti contro gli strumenti di sicurezza e di offuscarlo;
- Amministratori: lavoratori incaricati di configurare, demolire server e altre infrastrutture di attacco;
- Reverse Engineers: coloro che possono disassemblare il codice del computer, studiarlo, trovare vulnerabilità o punti deboli;
- Penetration Tester/Hacker: quelli in prima linea che combattono contro i team di sicurezza aziendale per rubare dati e impiantare il ransomware.
- Specialisti OSINT e personale esperto di negoziazione (coloro che trattano con le vittime dopo aver fatto ricerche sulla composizione interna e la natura dell’infettato);
- Risorse Umane: scandagliano siti di curricula online alla ricerca delle figure più idonee, effettuano i colloqui per l’assunzione, hanno anche accessi privilegiati ai database di siti di annunci di lavoro (maggiormente russi) grazie a conoscenze interne nello staff (headhunter.ru);
- Criptografi
Il “board esecutivo”, come lo si chiamerebbe nel caso di un normale operatore economico, è composto da personaggi più influenti del gruppo, tra i quali si identificano:
- Stern = boss
- Bentley = vice (ha ruoli anche in Trickbot)
- Mango = moderatore tra i sottogruppi di dipendenti
- Buza = responsabile dei programmatori
- Target = responsabile team degli hackers
- Veron = responsabile progetto Emotet
Tra le uscite economiche, ci sono i costi dell’infrastruttura tecnologica che non è banale e per niente superficiale, si parla di un gran numero di macchine e server di vario tipo, dislocati in varie aree geografiche. Ci sono anche uffici fisici, al momento ne sono stati identificati almeno due gestiti da Target, e un terzo ufficio a partire da agosto 2020 gestito da Professor, responsabile del processo di protezione della vittima. L’organizzazione spende risorse economiche ingenti anche per acquistare licenze software: strumenti OSINT estremamente sofisticati, con licenze di utilizzo corpose, spesso pagate per il tramite di aziende reali che fungono da prestanome che effettuano l’acquisto dal fornitore, poi rimborsato clandestinamente da Conti.
Il clima umano dentro Conti
Come detto il personale riceve le proprie paghe in Bitcoin, il cui stipendio medio è compreso tra i 1000 e i 2000 euro al mese. Nei log delle chat si è ancora rilevato l’umore che contraddistingue i vari dipendenti all’interno dell’organizzazione. Molti protestano spesso per un aumento di stipendio, in relazione degli incassi generali dell’organizzazione (dalle vittime) ai quali assistono. Considerano infatti squilibrato questo rapporto sostenendo che poche teste si spartiscano le grandi fette di guadagni, lasciando le briciole per chi lavora. Altri si auto dichiarano soddisfatti, per niente preoccupati delle conseguenze che le attività svolte possono produrre (e di fatto producono) con un approccio zero scrupoli.
Tra le fonti di malcontento si fa notare quella relativa al tempo libero. Sembrerebbe infatti che l’organizzazione operi con un orario H24 tutti i giorni l’anno, per coprire i turni quindi le vacanze sono poche, e durante il giorno spesso si viene chiamati a prolungare il proprio orario in funzione dell’obiettivo che si vuole raggiungere (in base all’operazione in corso in quel momento). Le ferie sono poche e tanto attese, salvo in periodi di accertati controlli investigativi da parte di forze dell’ordine, quasi sempre intercettati e previsti sempre grazie ai rapporti con le conoscenze nell’FBI.
Un altro fatto degno di nota, che si evince dall’analisi delle chat, è il rapporto che l’organizzazione ha con alcuni dipendenti: ci sono casi accertati di personale remunerato all’interno di Conti che non sa di essere coinvolto in un’organizzazione criminale. Come detto infatti le assunzioni vengono fatte con veri colloqui di lavoro tramite il servizio Risorse Umane. In quella occasione non si parla mai di organizzazione criminale, ma di attività altamente specializzata (nel settore di appartenenza della figura ricercata). Molti quindi lavorano tanto e vengono coinvolti in progetti di sviluppo di tecnologie, per periodi anche brevi, facendo in tempo a terminare il loro rapporto senza mai scoprire il reale datore di lavoro.
Conti e le infiltrazioni nella vita civile
{
"ts": "2021-04-06T22:17:40.170317",
"from": "alarm@q3mcco35auwcstmt.onion",
"to": "boby@q3mcco35auwcstmt.onion",
"body": "[03/30/2021 19:00:30] <alarm> by grid\n3C5szwCXjPXutxe8NRQ2PJ5oQrKRZdrFuDgMmGz93ihgrLD6pcR0eMUMJzJihjSB\nthere is a journalist who, for 5% of the payout, will help intimidate them. you can threaten it\n[03/30/2021 19:28:58] <boby> ny pyst poprobuet"
}
Iniziare con questo messaggio di Alarm è significativo del fatto che il coinvolgimento con la società civile del gruppo Conti, sia molto più di una ipotesi. C’è un giornalista che aiuterà Accounts a intimidire le vittime per il 5 % dei guadagni a titolo di compenso.
The Spaniard: nome di uomo rumeno (a detta di Mango) che lavora per una grande società di recupero post attacco dei danni informatici causati da ransomware (la società aiuta le persone a ritrovare dati persi e far ripartire le infrastrutture danneggiate). Questa persona stringe rapporti con Conti spesso spingendo le vittime a negoziare il riscatto, pagandone comunque almeno una parte. Es. vedasi i fatti, mai del tutto confermati ufficialmente né rivendicati da Conti, di LeMans Corp come da immagine qui sotto.
Altro grande coinvolgimento con la società civile è quello che riguarda il trading di criptovaluta. Accedendo a informazioni privilegiate e spesso creandole a seconda della necessità, semplicemente lanciando attacchi DDOS contro le società di gestione interessate, il gruppo riesce a far alzare o abbassare il valore del proprio investimento. C’è il sospetto infatti che Conti sia stato interessato dalla truffa SQUID coin (la valuta connessa all’omonica serie Netflix che fece discutere per la gestione della violenza). Nelle chat si parlava il 31 ottobre 2021 di grande opportunità di speculazione con trading di criptovaluta (acquistando grandi somme della valuta mirata per poi rivenderlo quando ciò che ora è solo un’informazione diventa un fatto reale sull’economia), senza mai nominare il nome della crypto.
Tra i fatti storici documentati dalla stampa però si apprende che il 01 novembre 2021 proprio la valuta SQUID coin ha fatto un balzo da 0.01 a 2856 dollari. Dopo una settimana la storia si concluse con una grande truffa che ha visto SQUID coin scomparire nel nulla e con essa chi la gestiva, con tutti i guadagni in tasca. Presumibilmente perciò, visto il coinvolgimento che viene esplicitato nel gruppo, in una “imminente operazione di trading” è fortemente probabile che Conti avesse voluto intendere proprio la speculazione con SQUID coin.