Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La resa dei “Conti” dei messaggi di guerra.

Emanuele De Lucia : 28 Febbraio 2022 14:22

Autore: Emanuele De Lucia
Data Pubblicazione: 28/02/2022

Il sindacato di ransomware di lingua russa Conti qualche giorno fa ha rilasciato e successivamente modificato un annuncio che ha descritto in dettaglio la propria posizione politica in merito al conflitto tra Russia e Ucraina. Ha annunciato chiaramente che eserciterà le proprie capacità contro qualsiasi tentativo degli Stati Uniti e in generale di qualsiasi altro Paese che abbia rappresentato una minaccia per il governo Russo.


In dettaglio l’organizzazione ha annunciato di essere “in pieno sostegno del governo russo” e che

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“qualsiasi azione contro la Russia, virtuale o meno, incontrerebbe un contrattacco contro le infrastrutture critiche dei suoi aggressori”.

Il post, tuttavia, è stato successivamente redatto e sostituito qualche ora dopo con un annuncio dai toni più leggeri che condannava la guerra mantenendo tuttavia le minacce di ritorsione a fronte di qualsiasi aggressione verso la Russia.

Sebbene non siano chiare le ragioni della scelta di rielaborare l’annuncio originale, è comunque possibile ipotizzare che gli amministratori del gruppo abbiano considerato qualche potenziale scenario futuro in grado di incidere pesantemente sui loro interessi e abbiano quindi corretto il tiro editando l’annuncio originale.

Si sono dunque probabilmente resi conto del loro errore e hanno cercato di sistemare le cose modificando il loro post sul blog per avere un tono più neutro, ma è chiaro che a quel punto fosse già tardi.

Malgrado è possibile ipotizzare che la gang abbia considerato, anche se in ritardo, eventuali rischi provenienti dall’esterno causati da una presa di posizione politica così netta, evidentemente non ha considerato quelli che sarebbero nati dal loro stesso interno.

Il 28.02.2022, infatti, quello che si crede essere uno dei membri del gruppo Conti di origine Ucraina ha pubblicato un archivio contenente conversazioni Jabber private relative a membri del gruppo in esplicita risposta al supporto di Conti per il governo Russo. Ha creato un account dedicato su Twitter in cui ha pubblicato un collegamento per il download di un archivio di ca 1,7 Mb.

Conti Leak Twitter Account
Original leak announcement

Una prima analisi suggerisce che il team abbia utilizzato un server dedicato appositamente reperito per le loro conversazioni. Questa è una pratica piuttosto comune a molti gruppi criminali in quanto assicura livelli di privacy sulle conversazioni più elevati se in paragone all’utilizzo di server Jabber pubblici o non direttamente gestiti da loro in quanto maggiormente soggetti a controlli di forze di polizia ed in generale dei governi. Curiosamente, il server dedicato sembra essere localizzato all’interno di uno dei Paesi NATO e più precisamente in Lithuania da diverso tempo.

La gang Conti

Il collettivo Conti è fra i più sofisticati ed efficienti gruppi ransomware. Al suo interno è probabilmente diviso in diversi gruppi operativi specializzati in diverse attività. E’ possibile affermare che esso sia fra i gruppi in grado di vantare fra le sue fila alcuni dei più talentuosi cyber-criminali operanti nel panorama underground di lingua russa.

La comunità di sicurezza considera oggi il gruppo Conti come una vera e reale minaccia per qualsiasi organizzazione fosse da loro presa di mira. I suoi membri prestano particolare attenzione alla furtività dei loro payload e delle loro operazioni post-exploitation il che complica le manovre di difesa ed abbassa le probabilità di allerta precoce su eventuali intrusioni ad esso riconducibili.

Conclusioni

Questo leak è una delle conseguenze di settimane di instabilità e tensioni fra i due Paesi. Il conflitto russo-ucraino ha diviso la comunità criminale con una scissione che sembra per molti versi oramai molto netta ed il gruppo Conti non ha saputo interpretare tali malesseri e le potenziali conseguenze da essi generati. Il gruppo Conti è una realtà criminale molto estesa, probabilmente composta da centinaia di individui, anche di origine Ucraina.

Tuttavia, mentre in passato russi ed ucraini univano le forze nell’underground digitale in una sorta di naturale collaborazione fra loro, da qualche giorno non è più così ed è facile pensare che le conseguenze di questo conflitto si faranno sentire per molto tempo anche in questo settore. Dopo quanto accaduto, infatti, è facile prevedere un sostanziale riassesto degli equilibri all’interno di moltissimi collettivi criminali mirati a bilanciare e mitigare i rischi che ideologie individuali potrebbero rappresentare per le singole organizzazioni.

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Lista degli articoli

Articoli in evidenza

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

20 Milioni di euro persi da IKEA per un attacco Ransomware

Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006