Sembra, ma la fonte (AdvIntel) è autorevole, che il gruppo ransomware Conti abbia chiuso la sua attività, o almeno l’attività sotto questo brand. Il fenomeno non è sorprendente, né nuovo: molti altri gruppo di cybercriminali, dopo aver raggiunto una certa fama, e dopo aver attirato troppo l’attenzione delle forze dell’ordine preferiscono scomparire nell’ombra. Conti era già una “fenice”: Conti infatti era nato nel 2020 dalle cenere del gruppo ransomware Ryuk. Quindi nulla di nuovo. 

Quello che in questo caso è particolare è la stretta relazione con quanto sta accadendo con la guerra Russia-Ucraina. Infatti il gruppo Conti, noto per avere struttura e dimensioni di una vera e propria industria informatica e operante prevalentemente a partire dal territorio russo, all’inizio dell’invasione all’Ucraina si era apertamente schierato con l’amministrazione della federazione russa. 

Che il gruppo fosse uno dei più importanti lo dice il fatto che il governo degli Stati Uniti abbia offerto una ricompensa di 15 milioni di dollari per l’identificazione e la localizzazione dei membri della gang. 

Eppure tutto ora viene abbandonato alla velocità della luce: i team leader che dichiarano che il brand non esiste, l’infrastruttura messa offline. Hanno infatti dismesso il servizio rocket chat (piattaforma di conversazione che sfrutta differenti canali social: Instagram, Facebook, WhatsApp Business, Twitter, Email, Telegram) e il loro pannello amministrativo Tor con cui pubblicavano sulla loro piattaforma “Conti News”. Insomma: “tagliano i ponti” (come ahimè abbiamo visto nel teatro di guerra). 

Forse è proprio per l’esposizione nel conflitto russo-ucraino che si può rinvenire le motivazioni di una contro offensiva contro questo gruppo, operata questa volta da un ricercatore ucraino che si presenta con l'handle Twitter @contileaks: questi ha pubblicato oltre 170 mila conversazioni di chat interne al gruppo su Jabber (un servizio pubblico gratuito di messaggistica istantanea), conversazioni che coprono un arco temporale di anni e che a ragione viene definita il “Panama Papers of Ransomware” (con riferimento al famoso fascicolo riservato sulle società offshore). Questa esfiltrazione ha causato conseguentemente l’utilizzo da parte di altri attori di minaccia delle tecniche sviluppate da Conti e ormai rese pubbliche: e come una vera e propria nemesi, ora gli attacchi vengono rivolti verso quelle che Conti non ha mai voluto colpire: entità russe. 

È probabile che l’ultima plateale azione contro il Costa Rica operata dal gruppo Conti, l’esfiltrazione di 672 GB di documenti governativi che ha costretto il governo di Chaves a dichiarare lo stato di emergenza, sia stata in effetti solo una copertura per nascondere l’intento iniziale di chiudere, e quindi occultare il lento migrare dei suoi membri verso operazioni ransomware più piccole. Una chiusura in bellezza, o meglio, una chiusura plausibile. 

È risaputo che i membri di Conti già collaboravano con noti gruppi di ransomware come AvosLocker , Hive , HelloKitty, BlackByte e BlackCat: è possibile che questa collaborazione ora si amplifichi o che i membri confluiscano in super-gruppi formati da membri di differenti gang, come Bazarcall e Karakurt. 

È un fatto anche questo già visto: membri di gruppi di ransomware famosi, nel momento dell’interruzione delle operazioni (vedi REvil e BlackMatter), hanno poi proseguito le loro attività criminali sotto altro nome o collaborando con altri gruppi. 

Lungi dal terminare quindi la minaccia ransomware, vedremo come questa evolverà nel prossimo futuro alla luce di questi fatti.

Tweet