Qualcuno ha fatto trapelare mesi di registri delle chat interne della famosa gang di ransomware Conti, mostrandone la realtà quotidiana delle sue operazioni.
Possibilità di lavoro in ufficio, ibrido o remoto, un team di risorse umane con un rigoroso processo di assunzione, revisioni delle prestazioni, avanzamento di carriera e bonus: tutto sembra lo standard impostato da un qualsiasi team di sviluppo software.
Ma queste non sono le condizioni di lavoro in una società di software qualsiasi, ma in Conti, il famoso e importante gruppo di ransomware responsabile di una serie di incidenti di alto profilo in tutto il mondo, inclusi attacchi informatici che hanno sconvolto aziende, ospedali, agenzie governative e altro ancora.
Il mese scorso, Conti, che molti esperti di sicurezza informatica ritengono operi fuori dalla Russia, si è espresso a sostegno dell'invasione russa dell'Ucraina. Ciò ha infastidito qualcuno che ha poi fatto trapelare mesi dai registri delle chat interne di Conti, fornendo informazioni privilegiate sulle operazioni quotidiane di una delle gang di ransomware più prolifiche del pianeta.
E mentre le azioni di Conti - hackerare le reti, crittografare file e richiedere il pagamento di un riscatto di milioni per una chiave di decrittazione - potrebbero avere un impatto drammatico sulle organizzazioni che ne cadono vittime, le fughe di notizie dipingono un quadro relativamente banale di un'organizzazione con programmatori, tester, sistema ammissioni, personale addetto alle risorse umane etc.
I ricercatori sono stati in grado di identificare una serie di ruoli lavorativi diversi all'interno dell'organizzazione, dal team delle risorse umane responsabile della creazione di nuove assunzioni, ai codificatori di malware, ai tester, ai "crypter" che lavorano sull'offuscamento del codice, agli amministratori di sistema che costruiscono l'infrastruttura di attacco e la squadra offensiva della banda che mira a trasformare una breccia in una cattura completa della rete presa di mira – oltre che lo staff di negoziazione incaricato di concludere gli accordi con le vittime.
Le persone impiegate in Conti vengono coinvolte tramite annunci sui forum del dark web, ma alcuni vengono avvicinati utilizzando mezzi più tradizionali, come siti Web di reclutamento russi, servizi di head-hunting e passaparola. Come qualsiasi altro processo di assunzione, i candidati verranno intervistati per assicurarsi che abbiano le giuste competenze e si adattino bene al gruppo.
Secondo le notizie trafelate, alcune persone reclutate da Conti non sono nemmeno consapevoli di lavorare per un'operazione illegale, almeno all'inizio - le fughe di notizie suggeriscono che ad alcuni di quelli portati per le interviste viene detto che stanno aiutando a sviluppare software per tester di penetrazione.
Una chat trapelata rivela come un membro dello staff Conti, che a differenza di quasi tutti gli altri membri del gruppo menziona il loro vero nome, fosse confuso su cosa facesse effettivamente il software su cui stavano lavorando e perché le persone con cui lavorava cercassero di proteggere la loro identità così tanto.
In questo caso, il suo manager dice al dipendente che sta aiutando a costruire il back-end per il software di analisi. E questo non è stato un caso, pensate che ci sono molti membri della banda di Conti che apparentemente non capiscono come siano coinvolti nel crimine informatico.
Ci sono dozzine di dipendenti che sono stati assunti tramite processi lavorativi legittimi e non tramite forum clandestini. È difficile dire quanti di loro non capiscano affatto quello che stanno facendo, ma molti di loro sicuramente non capiscono la reale portata dell'operazione e cosa sta facendo esattamente il loro “datore di lavoro”.
Nei casi in cui veniva fuori a cosa e per chi stessero lavorando, pare che i dirigenti tentassero di rassicurare i propri dipendenti con l'offerta di un aumento di stipendio: molti hanno scelto di restare, poiché la natura redditizia del lavoro è più allettante che smettere per trovare un altro lavoro.
Sebbene molti dei ruoli siano puramente online, i registri delle chat di Conti rivelano che non è insolito che i membri del gruppo lavorino da uffici e spazi di lavoro comuni nelle città russe. Ancora una volta, i registri della chat rivelano alcuni degli eventi e degli incidenti quotidiani che i dipendenti devono affrontare: ad esempio, qualcuno ha inviato messaggi chiedendo ai colleghi di farli entrare perché una porta era bloccata dall'esterno.
Le fughe di notizie hanno fornito ai ricercatori della sicurezza informatica preziose informazioni su come funziona una delle operazioni di ransomware più famose al mondo, nonché sugli strumenti e le tecniche che utilizza per estorcere riscatti alle vittime.
Ma nonostante l'imbarazzo per un gruppo ransomware di avere così tanti dati interni trapelati – soprattutto considerando che una delle tattiche chiave di Conti è minacciare di pubblicare i dati rubati se le loro vittime non pagano il riscatto – è improbabile che sia la fine del gruppo.
Alcuni dipendenti potrebbero andarsene, ma anche per coloro che inconsapevolmente si sono iscritti alla criminalità informatica, il richiamo di un reddito affidabile potrebbe comunque essere sufficiente per incoraggiarli a rimanere, soprattutto perché le sanzioni contro la Russia potrebbero potenzialmente limitare le loro opportunità di lavoro.
Siccome, a causa del conflitto con l’Ucraina, la disponibilità di potenziali posizioni nel settore tecnologico legittimo in Russia per sviluppatori e pen tester diventerà sempre più limitata, anche i dipendenti inconsapevoli che ora capiscono cosa stanno facendo passeranno al crimine informatico, poiché sarà difficile per loro per trovare un lavoro legittimo.
Il ransomware rimane una delle principali minacce alla sicurezza informatica che può causare enormi disagi alle organizzazioni di ogni tipo. Il modo migliore per difendersi dal ransomware è garantire che la rete sia il più protetta possibile dagli attacchi informatici, con livelli di sicurezza adeguati, soluzioni innovative che seguano altrettante strategie e metodologie innovative.
Comments