La San Carlo (l’azienda alimentare famosa per le patatine) e il Comune di Torino sono le ultime vittime, in ordine di tempo, del gruppo ransomware Conti che sembra aver preso di mira in particolare il nostro Paese: la sua attività malevola, infatti, era stata già segnalata anche in un bollettino di sicurezza pubblicato dal CSIRT Italia proprio sulla recente diffusione dell’utilizzo del Ransomware-as-a-Service (RaaS) in attacchi rivolti a organizzazioni dislocate in tutto il mondo.
Indice degli argomenti
Le origini del gruppo ransomware Conti
In realtà, già nel luglio 2020 la comunità di ricercatori di cyber security aveva focalizzato la propria attenzione su di una nuova variante ransomware, sin lì utilizzata sporadicamente, chiamata “Conti”.
Il suo codice è con estrema probabilità basato su quello di Ryuk ed entrambe le varianti paiono poter lavorare di concerto con il trojan bancario noto con il nome di TrickBot.
L’industria della cyber security ha già da tempo conosciuto il ransomware Ryuk: questo malware è stato ampiamente utilizzato lo scorso anno in attacchi mirati contro organizzazioni ed istituzioni operanti in diversi settori, tra cui anche l’italiana Bonfiglioli.
Tuttavia, ad un certo punto si registra una frattura tra i criminali informatici che impiegavano Ryuk; in quel momento nasce “Conti”, inizialmente noto come Ryuk 2.0, proprio per la forte sovrapposizione di caratteristiche con il suo predecessore.
In particolare, alcune caratteristiche (come la capacità di scegliere selettivamente files e macchine da impattare via command-line) suggeriscono una minaccia destinata ad un basso livello di diffusione ed operata manualmente all’interno di ambienti vittima per i quali è prevista una estesa fase di raccolta informativa.
Da lì a poco tale payload diverrà nei fatti la base di un cartello di affiliati fra i più estesi e pericolosi della rete.
Il modello di azione del ransomware Conti
Ad un occhio non allenato il gruppo Conti potrebbe sembrare l’ennesimo agglomerato di individui che hanno avuto successo nello sfruttare nuovi modelli di business criminale mediante programmi RaaS (Ransomware-as-a-Service) più o meno simili ad altri.
Tuttavia, questo gruppo ha mostrato nel tempo una capacità di adattamento non usuale e che risulta difficile da osservare in altri fenomeni simili.
Ad oggi risulta un gruppo fortemente organizzato che ha sviluppato delle sostanziali differenze rispetto al modello standard delle organizzazioni RaaS che siamo abituati ad analizzare. Mentre altri gruppi che operano a scopo estorsivo lavorano in team solitamente chiusi e indipendenti gli uni dagli altri, non è invece insolito trovare nelle operazioni attribuibili alla gang Conti altissimi livelli di collaborazione fra tutti i suoi affiliati.
Questo approccio collaborativo non riguarda solo i penetration tester (cioè coloro i quali effettivamente eseguono le operazioni di compromissione del network interno e movimentazione laterale), ma anche gli affiliati IAB (gli Initial Access Broker che si occupano di acquisire gli accessi iniziali alle reti target) e i malware writer (gli specialisti nello sviluppo e nella manutenzione dei payload).
Come avviene il reclutamento nel gruppo Conti
Tale livello di collaborazione fra affiliati del gruppo è risultato talvolta evidente nel contrasto alla più grande minaccia che un collettivo ransomware possa affrontare: i backup. Conti indirizza, infatti, il problema del contrasto ai backup a partire proprio dalla costruzione e dal reclutamento dei componenti dei propri team (chiamati forse con poca fantasia team_1, team_2, team_3…).
Quando tali team vengono composti le principali caratteristiche che ciascun candidato deve presentare sono proprio quelle relative alla capacità di individuare e neutralizzare ogni strumento utile al ripristino dei dati.
Questa metodologia di reclutamento focalizzata su tali skills permette al sindacato di circondarsi di elementi con grosse verticali su tale settore e dunque di essere in grado di fronteggiare quasi ogni scenario possibile, innalzando di conseguenza le probabilità di successo degli attacchi.
Il modus operandi di Conti
Conti utilizza diversi vettori come accesso iniziale ai target.
Questi spaziano dallo spear phishing fino allo sfruttamento di vulnerabilità o credenziali rubate nell’accesso a servizi esposti.
Nelle loro operazioni si è soliti osservare varianti Cobalt Strike come impianti di primo stadio: nonostante questo possa essere considerato uno strumento legittimo e disponibile in commercio per test di penetrazione autorizzati, il suo utilizzo è praticamente diventato una costante nel mondo del crimine informatico.
Ottenuto un primo beacon dall’infrastruttura vittima, gli attaccanti cercheranno di performare movimentazione laterale, innalzamento dei privilegi e persistenza. A questo proposito può sfruttare altri tool quali atera, ngrock e rclone per esfiltrare i dati e gestire i corrispettivi flussi verso il cloud.
Cosa insegna l’attacco al Comune di Torino
Conti ha presentato in passato notevoli capacità tecniche e come accennato utilizza diversi vettori per ottenere un primo accesso al perimetro vittima: dalle e-mail di spear-phishing sino allo sfruttamento di vulnerabilità e/o credenziali rubate, il ventaglio di ipotetici scenari di compromissione risulta abbastanza ampio.
È proprio lo sfruttamento di uno dei servizi di accesso remoto (nello specifico un RDP – Remote Desktop Protocol) che la gang Conti potrebbe aver sfruttato nelle primissime fasi dell’attacco alla municipalità della città di Torino.
Tali credenziali solitamente vengono acquisite mediante compravendite nel Dark/Deep Web o tramite attività di brute forcing dei servizi esposti.
Una volta ottenuto tale accesso non vi sono motivi per pensare che l’attore abbia agito diversamente dal consueto in questo specifico caso.
Possiamo dunque ipotizzare l’impianto di varianti Cobalt Strike e altri strumenti a supporto di azioni mirate all’identificazione e alla compromissione di nodi critici come, per esempio, i controller di dominio.
Come mitigare il rischio di un attacco
Per quanto riguarda le pratiche di mitigazione è consigliabile adottare, fra le altre cose, misure di contrasto che vedano il training dei dipendenti e dei collaboratori nei confronti dei rischi associati alla posta elettronica nonché di quelli relativi ad eccessive esposizioni nei social network oltre alle più classiche procedure di gestione degli aggiornamenti, adozione di doppio fattore di autenticazione soprattutto per i servizi di accesso remoto, limitazione della potenziale superficie d’attacco e solide politiche di backup dei dati.