Il gruppo ransomware Conti si schiera a favore della Russia, ma viene umiliato con la pubblicazione di chat interne

La crisi in Ucraina ha scatenato, oltre a forze militari, sanzioni economiche e apparati politici e governativi, anche l’azione degli hacker siano essi supportati da stati o gruppi indipendenti. E’ pur vero, tuttavia, che in modo particolare in Russia il confine tra hacker e servizi di intelligence è particolarmente labile.

Lo scorso venerdì il gruppo ransowmare Conti si è dichiarato esplicitamente a favore dell’azione portata avanti da Vladimir Putin, esprimendo pieno sostegno al governo russo e minacciando di rispondere ad eventuali attacchi portati alle infrastrutture critiche russe.

Un atteggiamento che però si è rivoltato contro il gruppo ransomware: domenica è infatti fuoriuscita dal gruppo una serie di informazioni, principalmente registri di chat interne, rivelando moltissimi dettagli sulle dinamiche operative di Conti. Il materiale emerso contiene oltre un anno di storico delle chat del servizio di messaggistica Jabber. Da questi messaggi sembra emergere l’esistenza di una catena di comando che collega il gruppo Conti all’intelligence russa, in particolare il FSB, il servizio federale per la sicurezza della Federazione russa, nato sulle ceneri del KGB.

I registri delle chat sono stati tradotti in inglese, tramite Google Translate, dal ricercatore di sicurezza Bill Demirkapi. La loro pubblicazione in inglese ha permesso di confermare l’esistenza di dettagli sull’infrastruttura tecnica e logistica, discussioni sulle vulnerabilità zero-day e sul loro possibile sfruttamento, oltre a caratteristiche e peculiarità degli strumenti utilizzati internamente.

Il materiale è stato diffuso da una persona non identificata, ma secondo alcune ricostruzioni parrebbe che la fuga di informazioni sia avvenuta ad opera di un ricercatore di sicurezza ucraino che era riuscito ad infiltrarsi nella banda Conti. All’interno delle chat vi sono inoltre indirizzi Bitcoin che sono stati usati dal gruppo Conti per ricevere i pagamenti dei riscatti del loro ransomware, oltre alla descrizione minuziosa dei negoziati intrattenuti tra il gruppo di hacker e le aziende vittime e che non hanno pubblicamente divulgato di essere state colpite dal ransomware. 

Per quanto molti tra i più famigerati gruppi ransomware siano in qualche modo collegati o almeno allineati alla Russia, molti di questi collettivi sono composti da hacker di svariata provenienza e a tutti gli effetti si tratta di gruppi transnazionali. Motivo per il quale tali gruppi hanno deciso di non prendere alcuna posizione a favore delle politiche di Mosca, specie a fronte di un’opinione pubblica internazionale schierata in maniera preponderante a favore dell’Ucraina. 

Un caso, ad esempio, è quello di LockBit, altro gruppo ransomware  particolarmente noto e a tutti gli effetti concorrente di Conti. Nei giorni scorsi il gruppo ha affermato che non avrebbe preso di mira le infrastrutture occidentali, pur non dichiarandosi esplicitamente a favore della posizione ucraina e, anzi, mostrando una cinica neutralità: “Per noi si tratta di affari, e siamo tutti apolitici”, intendendo con ciò che il loro operato è solo e solamente volto a raccogliere bottino finanziario.

A differenza dei gruppi ransomware che, come esplicitato da LockBit, hanno interessi prevalentemente finanziari, i gruppi cosiddetti hacktivist sono invece orientati ciascuno secondo un proprio credo politico e non hanno esitato a partecipare al conflitto che si consuma nello scenario digitale e anzi è probabile che altri continueranno ad unirsi agli scontri, da una parte e dall’altra, nelle prossime ore. Quel che i ricercatori di sicurezza temono, in quest’ultimo caso, è l’innescarsi di effetti collaterali imprevisti o non voluti specie quando l’azione di sabotaggio o disturbo avviene per mano di attori di minaccia improvvisati. 

Fonte: http://feeds.hwupgrade.it/