Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Conti ransomware chiude. Rebranding in altri piccoli collettivi sotto un controllo centrale

Redazione RHC : 21 Maggio 2022 09:06

La famigerata banda di ransomware Conti ha ufficialmente chiuso la propria attività, con l’infrastruttura offline e i team leader che hanno ufficializzato che il marchio non esiste più.

Questa notizia arriva da Yelisey Boguslavskiy di Advanced Intel, che ha twittato ieri pomeriggio che l’infrastruttura interna della banda è stata disattivata.

Mentre la fuga dei dati da “Conti News”, ovvero il sito principale risulta ancora online, Boguslavskiy ha detto a BleepingComputer che i pannelli di amministrazione di Tor utilizzati dai membri per condurre trattative e pubblicare “notizie” sul loro sito sono al momento offline.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Anche se può sembrare strano per Conti chiudersi nel bel mezzo della loro guerra di informazioni con il Costa Rica, Boguslavskiy dice che Conti ha condotto questo attacco mentre i membri di Conti sono migrati lentamente verso altri gruppi ransomware più piccoli.

    Conti minacce al governo costaricano
    Minacce Conti al governo costaricano

    “Tuttavia, la visibilità e le scoperte dell’intelligence di AdvIntel hanno portato a quella che in realtà era, la conclusione opposta: l’unico obiettivo che Conti era raggiungere con questo attacco finale uno strumento di pubblicità, eseguendo la propria morte e successiva rinascita nel modo più utile che si potesse concepire”

    spiega un rapporto di Advanced Intel.

    “L’ordine per condurre l’attacco al Costa Rica a scopo pubblicitario anziché di riscatto è stato dichiarato internamente dalla leadership di Conti. Le comunicazioni interne tra i membri del gruppo suggerivano che il pagamento del riscatto richiesto era di gran lunga inferiore a 1 milione di dollari (nonostante le richieste non verificate del riscatto parlavano di 10 milioni di dollari, seguiti dalle affermazioni di Conti secondo cui la somma era di 20 milioni di dollari).”

    Conti se n’è andato, ma l’operazione continua

    Anche se il marchio di ransomware Conti non esiste più, la cybergang continuerà a svolgere un ruolo significativo nel settore dei ransomware per molto tempo a venire.

    Boguslavskiy ha detto che invece di rinominarsi come molte altre operazioni di ransomware, la leadership di Conti ha invece collaborato con altre bande di ransomware più piccole per condurre attacchi.

    In base a questa partnership, le bande di ransomware più piccole ottengono un afflusso di esperti pentester, negoziatori e operatori di Conti. Il gruppo Conti invece ottiene mobilità e una maggiore evasione dalle forze dell’ordine suddividendosi in “cellule” più piccole, tutte gestite da una leadership centrale.

    Il rapporto Advanced Intel spiega che Conti ha collaborato con numerose note operazioni di ransomware, tra cui HelloKitty, AvosLocker, Hive, BlackCat, BlackByte e altri.

    I membri Conti esistenti, inclusi negoziatori, analisti di informazioni, pentester e sviluppatori, sono sparsi in altre operazioni ransomware. Sebbene questi membri utilizzeranno ora i ransomware e i siti di negoziazione di queste altre operazioni ransomware, fanno ancora parte del più ampio sindacato di criminalità informatica Conti.

    Questa frammentazione in gruppi semi-autonomi e autonomi più piccoli è illustrata nell’immagine sottostante condivisa da Advanced Intel.

    I membri di Conti si diffondono ad altre operazioni di ransomware
    I membri di Conti si diffondono ad altre operazioni di ransomware
    Fonte: Advanced Intel

    Advanced Intel afferma inoltre che sono stati creati nuovi gruppi autonomi di membri Conti che si concentrano interamente sull’esfiltrazione dei dati e non sulla crittografia dei dati. 

    Alcuni di questi gruppi includono Karakurt , BlackByte e il collettivo Bazarcall .

    Queste iniziative consentono all’esistente sindacato di criminalità informatica di continuare ad operare ma non più sotto il nome Conti.

    Un marchio tossico

    Il rebranding di Conti non sorprende ricercatori e giornalisti che li hanno seguiti negli ultimi mesi, se non negli anni passati. L’operazione Conti ransomware è stata lanciata nell’estate del 2020, dopo aver preso il posto del ransomware Ryuk.

    Come Ryuk, Conti è stato distribuito attraverso partnership con altre infezioni da malware, come TrickBot e BazarLoader, che hanno fornito l’accesso iniziale alla banda di ransomware.

    Nel corso del tempo, Conti è diventata la più grande operazione di ransomware, trasformandosi lentamente in un sindacato di criminalità informatica quando ha rilevato le operazioni di TrickBot, BazarLoader ed Emotet.

    Tuttavia, è stato solo quando Conti si è schierato con l’invasione russa dell’Ucraina che il marchio Conti è diventato “trabballante” e il loro destino segnato.

    Conti dalla parte della Russia per l'invasione dell'Ucraina

    Dopo essersi schierato con la Russia, un ricercatore di sicurezza ucraino ha iniziato a far trapelare oltre 170.000 conversazioni di chat interne tra i membri della banda di ransomware Conti e il codice sorgente del ransomware Conti .

    Una volta che questo codice sorgente è diventato pubblico, altri attori delle minacce hanno iniziato a utilizzarlo nei propri attacchi, con un gruppo di hacker che utilizzava il ransomware Conti negli attacchi contro entità russe.

    Il governo degli Stati Uniti considera Conti uno dei ceppi di ransomware più costosi mai creati, con migliaia di vittime e oltre 150 milioni di dollari in pagamenti di riscatto.

    Gli exploit della banda di ransomware Conti hanno portato il governo degli Stati Uniti a offrire una ricompensa fino a 15.000.000 di dollari per l’identificazione e l’ubicazione dei membri di Conti in ruoli di leadership.

    Fonte
    https://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/amp/

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Una PE in Microsoft Windows sfruttata da 2 anni Nel Patch Tuesday. Aggiornare avverte CISA e ACN

    All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...

    Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo

    Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...

    Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    FUNKSEC rivendica un attacco Informatico All’Università di Modena e Reggio Emilia. Scopri i dettagli

    Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...

    Attacco a X: Scovato il Responsabile? Le Indagini Puntano in una Direzione Inattesa!

    L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006