Il gruppo ransomware CONTI (dal nome dell’ex Primo Ministro italiano) ha effettuato un altro attacco ad una realtà industriale italiana: la San Carlo delle note patatine in sacchetto.
Come già scritto tempo addietro, il nome della cyber gang non è casuale ma scelto in quanto questi criminali informatici targetizzano soprattutto le PMI e organizzazioni italiane. Sfruttando alcune peculiarità culturali del nostro paese e la storica arretratezza informatica rispetto ai paesi più avanzati. Inoltre, questa modalità di attacco sfrutta il modello RaaS (Ransomware-as-a-Service) in cui i criminali forniscono propri servizi a migliaia di affiliati; ciò consente ad un attaccante anche non estremamente esperienziato di sferrare attività malevoli come phishing, ransomware e attacchi DDoS.
A fine ottobre il gruppo CONTI ha pubblicato un post sul suo DLS che mostra circa una trentina di documenti, quasi 60 MB di materiale, con riferimenti a budget, contratti, info su passaporti di dipendenti e stakeholders, tra cui persone della dinastia Vitaloni: i fondatori di San Carlo e della holding Unichips Italia.
Il gruppo criminale CONTI opera ormai da alcuni anni, appunto con focus in Italia. La disponibilità finanziaria della gang è notevole dato che si stima abbiamo raccolto più di 10 Mio$ con l’ormai classico doppio-riscatto richiesto per 1) ricevere la chiave di decriptazione che permette. All’azienda vittima di tornare operativa nel breve termine e senza perdite di dati, 2) non vedere pubblicati e diffusi i propri dati riservati, che. quindi potrebbero portare ad un danno di immagine e di reputazione, ma anche ad una salata multa da GDPR.
Il gruppo si muove in Italia soprattutto contro aziende di produzione industriale, di machinery, di costruzioni, ma anche entità governative. Lo schema sotto riportato (fonte: doubleextortion.com) presenta proprio le tipologie di imprese target di CONTI in Italia.
La modalità operativa è simile a quella di RYUK basata su partner e affiliati. Il collettivo criminale, grazie ai tanti denari disponibili, ha innovato il suo modello di business passando da attacchi ransomware RaaS (Ransomware as a Service) agli attacchi Double Extortion con affiliati. Questo tipo ddi operatività moltiplica incredibilmente le opportunità di successo degli attacchi grazie alla condivisione di competenze tra i criminali affiliati.
I modus operandi del ransomware Conti sono evoluti e persistenti, ad esempio: compromettere Active Directory, utilizzare la configurazione di “AnyDesk” per avere accesso remoto, disabilitare Window Defender, ed altre procedure di lavoro condivise tra gli affiliati estremamente affinati ed efficaci.
In generale, recente report ENISA “Enisa Threat landscape for Supply Chain Attack” fa un quadro chiaro delle principali categorie di minacce: ransomware; malware; cryptojacking, minacce rivolte alle email, minacce data leak/data breach; attacchi DDos (altre come minacce supply-chain). Nell’ultimo anno le due tipologie in maggiore crescita sono il Ransomware-on-demand ed il Ransomware-as-a-Service, mentre si conferma il declino del malware.
Il Ransomware-on-demand è molto utilizzato perché offre a singoli criminali, oppure ad organizzazioni malintenzionate, degli “attacchi chiavi in mano” che comprendono: 1) scoperta delle vulnerabilità, 2) sviluppo e controllo dell’attacco, 3) formazione e supporto. Si tratta quindi di veri e propri cyber-mercenari a noleggio.
Purtroppo, il cyber-crime si continua ad evolvere e recentemente ha introdotto nel RaaS anche la “tripla estorsione” che aggiunge alle già note richieste di pagamento per la chiave di decriptazione e per evitare la gogna pubblica con la pubblicazione dei propri dati, anche una terza estorsione che utilizza un attacco DDOS alla vittima che la motiva al pagamento dei riscatti.
Ancora una volta siamo a ripetere che i classici strumenti di difesa informatica che andavo bene, forse, 5 anni fa oggi sono facilmente aggirati da questi nuovi ransomware moderni, evoluti e molto costosi per le vittime.
Occorre cambiare il paradigma della cyber posture aziendale abbracciando le tecnologie innovative di difesa che sono in grado sia di bloccare questi attacchi ed addirittura di prevenirli prima che essi inizino. Ad esempio, il brevetto tecnologico dell’israeliana DECEPTIVE BYTES (registrato presso USPTO – U.S. Patent & Trademark Office n. 16/315.866) dimostra che la soluzione trae in inganno l’attaccante proprio grazie alla tecnologia DECEPTIVE che mostra informazioni dinamiche e confuse non consentendo al ransomware di iniziare l’attacco (www.deceptivebytes.com).
Similmente, la soluzione SOC 24/7 di CYNET, anch’essa israeliana ed innovativa, tiene sotto controllo continuo con il suo radar tutti i file, endpoint e server aziendali, eseguendo un “automated response” in casi di eventi dubbi o rischiosi. Inoltre, i tecnici israeliani sempre in monitoraggio possono eseguire investigazioni ulteriori e specifiche azioni di risposta (www.cynet.com).
