Il 27 febbraio, a tre giorni dall’attacco russo all’Ucraina e a meno di 48 ore dalle controverse dichiarazioni di sostegno al Cremlino da parte del Conti Team – una delle maggiori cybergang russe – apparse sul Dark Web e poi immediatamente ritrattate in favore di un più generico antiamericanismo, compare su Twitter il nuovo account @ContiLeaks. Tramite esso, un ricercatore di sicurezza ucraino ha divulgato diversi anni di log di chat interne alla celebre organizzazione cybercriminale russa e altri dati sensibili legati a Conti.

“Dalle analisi condotte dal SOC e Threat Intelligence Team di Swascan – dichiara Pierguido Iezzi, CEO di Swascan, polo italiano della cybersicurezza del Gruppo Tinexta – le informazioni trapelate danno la possibilità di osservare dall’interno le trame e gli affari di una delle maggiori cybergang russe, che si concentra sulla distribuzione del suo ransomware contro le aziende con più di 100 milioni di dollari di fatturato. I registri forniscono anche elementi su come Conti, un’impresa digitale criminale con oltre 100 dipendenti a libro paga, ha affrontato le proprie violazioni interne e gli attacchi da parte di società di sicurezza private e di governi stranieri. Grazie alla defezione di un membro della gang, possiamo ora volgere uno sguardo approfondito sui meccanismi del cybercrime che non ha precedenti”.

Il primo link pubblicato da @ContiLeaks rimanda ad un archivio di messaggi, che vanno dal 29 gennaio 2021 ad oggi, presi dalla chat privata di Conti con un messaggio: “Gloria all’Ucraina”. In seguito sono state pubblicate ulteriori chat dal 22 giugno al 16 novembre 2020 e tuttora l’account continua a rilasciare dati che offrono l’opportunità, unica nel suo genere, di veder dall’interno la gestione di una organizzazione cybercriminale.

“Nei giorni successivi – osserva Iezzi – sono proseguiti i leak di chat e dati, dando addirittura accesso a diversi server interni di backup, tra i quali uno in particolare da 7,3 Terabyte che i nostri analisti hanno potuto esaminare, dove la gang andava tra l’altro a salvare i dati esfiltrati alle compagnie vittime di attacchi ransomware”.

Tutti i data leak rilasciati dal profilo @ContiLeaks sono stati raccolti e organizzati dal gruppo di ricercatori malware “VX-Underground”, permettendo così un’analisi più ragionata delle informazioni che ha consentito di individuare i software opensource utilizzati dal gruppo criminale per sviluppare i propri applicativi, i relativi manuali d’utilizzo per gli affiliati, le tecniche per le intrusioni nelle infrastrutture digitali, il codice del famigerato malware Trickbot che ha infettato milioni di device negli ultimi anni, l’identità dell’autore dei suoi codici – che beffardamente prende il soprannome di Begemot, il gatto diabolico che nel romanzo “Maestro e Margherita” di Michail Bulgakov inonda la platea di rubli falsi nello spettacolo inscenato al Teatro di Varietà di Mosca da Woland-Lucifero per smascherare le ipocrisie della burocrazia comunista sovietica – le collezioni di credenziali rubate di diversi service provider quali mail.ru e google.com, di numerosi siti e alcuni server, gli indirizzi dei portafogli bitcoin utilizzati dalla gang. Questi ultimi, in particolare, hanno permesso di scoprire che in oltre 5 anni, sono stati ricevuti 65.498 bitcoin, corrispondenti al cambio attuale a oltre 2,4 miliardi di dollari.

Sono inoltre emerse diverse allusioni ad una probabile collaborazione con l’FSB, in particolare per il caso Navalny, così come risultano evidenti possibili collegamenti alla cyber gang Ryuk.

“Il fatto che ci deve maggiormente preoccupare – osserva concludendo Iezzi – è che Conti Team non sembri affatto preoccupata dell’accaduto: il suo sito di pagamenti e di supporto è infatti ancora attivo. Questa cybergang ha dato prova senza ombra di dubbio di una considerevole resilienza, dimostrandosi capace di rilanciare la sua infrastruttura e rimanere operativa anche dopo un simile attacco. Segno che può fare molto male a chi colpisce: un monito severo per tutti gli operatori pubblici e privati a non abbassare la guardia”.

22 marzo 2022