Conti è un gruppo di cyber-criminali che lavora con modello RaaS - Ransomware as a Service - sopratutto contro aziende europee e italiane (da qui il suo nome ispirato al Presidente del Consiglio Giuseppe Conte).
Utilizzando Remote Access Brokers. (RAB), Initial Access Brokers (IAB), affiliati e operatori i suoi ransomware iniziano spesso con campagne di spearphishing con e-mail personalizzate e malevole che rilasciano malware in grado di effettuare tecniche di "lateral movement", che sappiamo essere quelle più gettonate insieme a quelle di "defense evasion" per eludere le classiche difese aziendali (ormai obsolete come gli antivirus) e rimanere celati e silenti nella rete IT aziendale anche diversi mesi.
Successivamente utilizzano credenziali RDP - Remote Desktop Protocol - acquistate dagli IAB oppure vulnerabilità comuni nella rete e asset, cosi come ZLoader.
Conti, quindi, è un ransomware evoluto e sofisticato in grado di penetrare tutte le difese informatiche "non moderne" delle aziende. Anche l'azienda italiana Prima Power SPA, quotata in borsa e attiva nella lavorazione della lamiera e nella tecnologia laser anche con una partecipazione finlandese, ha subito un attacco con l'esfiltrazione di ben 29.000 file per 195GB.
Non sono noti per ora gli importi richiesti per il riscatto ed i danni provocati all'azienda.
Ormai è noto che gli antivirus non sono in grado di contenere gli attacchi ransomware evoluti. In questo periodo sta emergendo, come già successo qualche anno fa, le riflessioni sul rischio di affidare la sicurezza delle proprie imprese ad antivirus fortemente legati al governo russo come il noto KASPERSKY.
L'Agenzia per la Cybersicurezza Nazionale (istituita per proteggere dalle minacce informatiche le reti, i sistemi informativi, i servizi e le comunicazioni elettroniche) ha avviato in questi giorni una serie di comunicazioni ai comuni italiani riguardo il pericolo rappresentato dall’antivirus KASPERSKY per le pubbliche amministrazioni, forze di polizia e la sanità.
Il timore è che l’antivirus possa essere veicolo ad esempio di trojan dormienti e capaci, se attivati, di bloccare interi sistemi. Reggio Online (link) conferma: «Alcuni Comuni hanno già iniziato a smantellare Kaspersky. Giornate di lavoro intenso per i responsabili informatici. Da quanto emerge da chi lo ha sorvegliato da un paio di settimane, il sistema non rileva più minacce, cioè avrebbe smesso di fare il suo lavoro e sono state scoperte backdoor, una specie di “porta di servizio” che permette di accedere indisturbati a un sistema informatico e prelevarne i dati.»
Le best-pratice di cyber security che recentemente stanno divulgando molti governi ed agenzia cyber nazionali consigliano di non utilizzare prodotti (ad esempio antivirus ed altri SW) o servizi (ad esempio SOC) legati a nazioni non affidabili e/o coinvolte nella guerra in Ucraina.
E' importante affidarsi a metodologie moderne in grado di prevenire un attacco e i ransomware (sempre più utilizzati) come ZERO TRUST può fare. Nello specifico soluzioni innovative come l'israeliana DECEPTIVE BYTES possono intercettare questi tentativi di attacco, prima che essi realmente inizino, grazie alla sua tecnologia "ad inganno" proprietaria e brevettata.
La soluzione crea informazioni dinamiche e ingannevoli che interferiscono con qualsiasi tentativo di ricognizione dell’ambiente e dissuadono l’attaccante dall’eseguire i suoi intenti maliziosi, attraverso tutte le fasi dell'attacco – coprendo tecniche di malware avanzate e sofisticate, assicurandosi costantemente che tutti gli end-point e dati nell’azienda siano protetti.
Comentários