I ricercatori di BreachQuest, una società di sicurezza informatica e di risposta agli incidenti con sede a Dallas, mercoledì hanno pubblicato le loro analisi dei registri delle chat che un membro del gruppo scontento ha pubblicato prima su canali privati e poi su Twitter diverse settimane fa.
Le fughe di notizie hanno seguito un messaggio aggressivo pro-russo sul sito Web del noto gruppo di ransomware. Il rilascio ha lo scopo di aiutare le organizzazioni a comprendere il funzionamento interno dell’infrastruttura organizzativa di Conti.
Secondo Marco Figueroa, responsabile del prodotto presso BreachQuest ed ex ricercatore principale delle minacce presso SentinelOne.
Questi registri delle chat presentano un’analisi approfondita dei numeri delle entrate, dei leader, delle pratiche e delle operazioni di reclutamento e delle vittime della banda di ransomware.
Una delle rivelazioni più sorprendenti è che il top leader del gruppo investe pesantemente in bitcoin e crea la propria rete blockchain per supportare il gruppo Conti. Un’altra chiave rivelata dalle conversazioni in chat è che quasi tutti i membri del gruppo risiedono in Russia, ha confermato Figueroa.
“Questa è una macchina ben oliata che funziona da un po’. Hanno guadagnato 50 milioni di dollari a settembre”, ha detto alla stampa.
BreachQuest e la panoramica dei registri delle chat
Il gruppo Conti aveva precedentemente annunciato che avrebbe eseguito campagne di attacchi informatici a sostegno dell’invasione russa in corso dell’Ucraina.
Secondo BreachQuest, la comunità di infosec ha quindi iniziato a far circolare le fughe di notizie fornite da un ricercatore di sicurezza ucraino che descrivono in dettaglio più anni di registri di chat interni che rivelano le operazioni di Conti.
I registri trapelati mostrano che Conti non limita gli attacchi a grandi aziende o obiettivi. Inseguono anche le piccole imprese.
Uno degli obiettivi primari di Conti è massimizzare la cooperazione delle vittime nel pagare per decrittare i loro dati attraverso le negoziazioni sui prezzi, ha affermato Figueroa.
La strategia include una serie di rilasci di dati gradualmente più grandi fino a quando le vittime non accettano di pagare. Fino a quando non lo fanno, ogni nuova versione di informazioni compromesse ha un prezzo più alto.
“Una delle cose che il blog rivela è che vogliono onorare il loro lavoro”, ha detto.
Non è stata inclusa nel blog di BreachQuest sul contenuto del registro una discussione riguardante il modo in cui una società vittima ha fatto una richiesta speciale in cambio del pagamento. La società voleva scaricare tutti i suoi file e quindi eliminare le copie di Conti, secondo Figueroa.
I registri della chat hanno rivelato le discussioni avanti e indietro e l’accordo di Conti a rispettare come indicazione che le vittime possono fidarsi delle promesse di Conti.
Tutto ben organizzato
Conti è organizzato in un’efficace gerarchia che isola i suoi lavoratori all’interno di gruppi qualificati. I leader chiave sono identificati con nomi e titoli indistinti.
Il lavoro dei nuovi assunti viene mantenuto nel vago per evitare che capiscano troppo dell’organizzazione. Questo può essere un fattore che contribuisce all’alto tasso di rotazione dell’organizzazione, nonché alla natura criminale del lavoro, osserva il rapporto di BreachQuest.
Conti divide le squadre in gruppi con un caposquadra assegnato. Più leader possono lavorare all’interno di grandi gruppi per mantenere gli incarichi di lavoro e la formazione.
Ai lavoratori è richiesto esplicitamente di “ascoltare, fare, imparare e porre domande, seguire le guide e le istruzioni, completare i compiti assegnati”.
Le fughe di notizie di Conti e la guerra in corso in Ucraina potrebbero spingere i leader di Conti a intensificare gli sforzi di reclutamento.
Il rublo svalutato e le sanzioni internazionali contro la Russia stanno spostando i russi sul bitcoin. Quindi, Conti paga tramite bitcoin come richiesto dai lavoratori, secondo i registri trapelati.
Processo di reclutamento
Conti recluta lavoratori utilizzando diverse strategie. Il metodo principale sono le raccomandazioni degli attuali lavoratori fidati. Un altro metodo utilizza i servizi di reclutamento per trovare candidati con le competenze necessarie.
Uno di questi servizi è un sito Web con sede in Russia che consente al dipartimento delle risorse umane di Conti di accedere al database dei curricula per potenziali candidati qualificati.
Una chat analizzata tra i dipendenti di Conti comporta una significativa variazione di prezzo da parte del sito Web scontato a Conti.
Il colloquio a Conti è problematico. Gli intervistati aspettano in una chat room e le domande ricevono risposta tramite scambi di chat anziché video, perché il video potrebbe compromettere la sicurezza operativa dei suoi membri. Molti dei candidati lasciano le chat room prima dell’inizio del colloquio.
I candidati che superano il colloquio negoziano le loro condizioni di stipendio e il loro ruolo nell’organizzazione. Le persone assunte seguono la “Formazione di introduzione per principianti”.
Fattori operativi
Gran parte del lavoro dietro le quinte comporta l’assunzione di talenti come sviluppatori full-stack, cripto, C++ e PHP. Creano diversi strumenti come armadietti, spamming, strumenti backdoor e/o pannelli di amministrazione.
Poiché molte delle applicazioni Web sono state scritte in PHP, il software rilasciato mancava di codice ed era quasi impossibile farlo funzionare. I programmatori hanno dovuto risolvere tutto questo.
Gli ingegneri inversi analizzano gli aggiornamenti Microsoft per sapere quali modifiche vengono dopo gli aggiornamenti di sistema.
Inoltre, effettuano il reverse engineering dei prodotti di protezione degli endpoint per aggirare la protezione che potrebbe manomettere o inibire il loro successo in qualsiasi modo.
Squadre speciali cercano obiettivi raccogliendo informazioni da fonti apertamente disponibili online con varie tecniche.
Gli amministratori assistono nella gestione delle reti aziendali compromesse e nella raccolta di informazioni sulle vittime fondamentali per la loro attività per estrarre l’importo massimo del pagamento.
I tester aiutano valutando e verificando che gli strumenti Conti facciano ciò che dovrebbero fare in ambienti specifici. I registri delle chat rivelano il test giornaliero della firma di Windows Defender per garantire che gli strumenti di Conti non vengano rilevati.
Conti segue processi collaudati specifici per garantire un punto d’appoggio in una rete compromessa. Il gruppo di hacker cerca persone potenzialmente interessanti come un amministratore, un ingegnere o qualcuno nell’IT.
Eseguire il backup dei bersagli principali
I team di ransomware cercano server di backup per crittografare i dati dell’azienda vittima. I ricercatori utilizzano anche tecniche per aggirare i fornitori di storage di backup per assicurarsi che i backup siano crittografati.
I registri trapelati mostrano che Conti cerca documenti finanziari, file contabili, clienti, progetti e molto altro. La strategia spinge i lavoratori di Conti a capire che il loro successo dipende dall’ottenere le informazioni, dell’organizzazione target, utili per convincere le vittime a pagare.
Fare affidamento su file di backup nel cloud o altrove non manterrà un’azienda o un’organizzazione mirata al sicuro da compromessi, ha osservato Figueroa.
“Inseguono i tuoi backup. Non faranno nulla (per notificare a un’azienda il compromesso riuscito) finché non sapranno di averti messo in una situazione di stallo da cui non potrai uscirne”, ha detto Figueroa.
I registri delle chat trapelati e l’analisi completa sono disponibili sul sito web di BreachQuest.
