Il comune di Torino, l’azienda alimentare San Carlo e quella di giochi per bambini Clementoni. Questi sono solo gli ultimi obiettivi di una serie di attacchi coordinati da Conti, un gruppo di cyber criminali è specializzato nei ransomware: i famigerati virus che sono in grado di bloccare un sistema informatico e chiuderlo ai suoi proprietari fino all’arrivo di un riscatto. Appena dopo l’inizio dell’invasione della Russia in Ucraina, Conti ha pubblicato un messaggio sul suo blog in cui annunciava pieno sostegno al presidente Vladimir Putin. Il 25 febbraio sul blog ufficiale del dei cyber criminali è comparso questo messaggio: «Il gruppo Conti annuncia pieno supporto al governo russo». Secondo le ricostruzioni del portale The Record, questa presa di posizione ha creato una spaccatura interna al gruppo che ha portato uno dei suoi membri a pubblicare 13 mesi di conversazioni interne.
Le chat pubblicate arrivano dal server interno del gruppo. Solo i membri di Conti ne fanno parte e solo qualcuno che fosse dentro il gruppo da tempo poteva accedervi. Le chat sono tutte originali, svelano obiettivi raggiunti dagli hacker mai arrivati alla stampa e soprattutto rimandano a una lunga serie di Ip, portafogli di Bitcoin e conti bancari che saranno utili a tutti gli investigatori sulle tracce dei criminali. La quantità di dati che sono stati diffusi è altissima: si parla di 339 JSON, ognuno dei quali contiene un giorno intero di conversazione dal 29 gennaio 2021 al 27 febbraio 2022, data in cui il whistleblower ha fatto perdere le sue tracce. L’autenticità dei messaggi è stata confermata anche da Dmitry Smilyanets, un’analista di Recorded Future che in passato ha seguito tutti i movimenti del gruppo Conti.
Il contenuto delle chat
Tutti i messaggi sono stati raccolti e pubblicati sul portale Intelligence X. Con un’analisi più approfondita si possono trovare dati ancora più specifici, come gli strumenti utilizzati da Conti per portare a termine i suoi attacchi: il gruppo utilizzerebbe infatti malware come TrickBot ed Emotet. Questi nomi per chi non è esperto di cyber security possono dire poco ma per gli analisti sono fondamentali perché permettono di collegare i membri di Conti ad altre gang che operavano in passato. Fondamentali poi il tracciamento dei pagamenti per capire quali azioni non sono state rese note dalle vittime e quale è stato il giro d’affari della banda.
Leggi anche:
- Cyberwar, Kiev all’assalto: l’Ucraina ha chiesto di escludere la Russia dalla rete internet
- Anonymous contro Putin. Modificati i dati di navigazione del suo yacht: rotta verso l’Inferno
- Anonymous alza il tiro. Diffusi 40 mila documenti attribuiti all’Istituto di Sicurezza Nucleare di Mosca
- I social in guerra. Facebook e Twitter accusano: «Hacker russi usano il nostro network per colpire i leader ucraini»
- Continua la guerra di Anonymous. Bloccati i siti delle compagnie di gas e petrolio russe
- Ucraina, nasce l’esercito degli hacker: nel mirino anche Gazprom. E Musk mette a disposizione i suoi satelliti
- Anonymous attacca anche le tv russe: in onda video sulla guerra e canzoni ucraine Guerra e fronte del web. Quelle azioni di hackeraggio che colpiscono i siti e i giornali online (anche il nostro)
- Guerra in Ucraina, Anonymous buca il database del ministero della Difesa russo. Che però nega tutto
- Ucraina, Anonymous dichiara guerra alla Russia: attaccati il sito del Cremlino e del media RT
