I contenuti delle chat dei cybercriminali di Conti rivelano che il gruppo ransomware è impostato come un’azienda hi-tech, e molti dipendenti non sanno nemmeno di lavorare per il cybercrime.
Autore: Redazione SecurityOpenLab
L’hack dei dati del gruppo ransomware Conti del 27 febbraio rivela informazioni interessanti sulla strutturazione dei gruppi del cybercrime. I ricercatori di Check Point Research hanno passato al setaccio le informazioni trapelate, e hanno scoperto che Conti è strutturato come un'azienda hi-tech, con un management, un comparto finance e un HR. Conti recluta i propri dipendenti non solo dal dark web, ama che fuori, analizzando i CV e facendo proposte di lavoro del tutto ordinarie. I ricercatori hanno trovato le prove che alcuni dipendenti di Conti non hanno idea di far parte di una realtà del cybercrime.
Ricordiamo che Conti è un gruppo Ransomware-as-a-Service (RaaS), in gli affiliati affittano l'accesso alla sua infrastruttura per lanciare i cyber attacchi. Gli esperti di settore reputano che Conti abbia sede in Russia e potrebbe avere legami con l'intelligence russa, ma il dato è ovviamente difficile da verificare. Quello che è certo è che Conti è stato accusato di attacchi ransomware contro dozzine di aziende e infrastrutture critiche, fra cui il servizio sanitario irlandese.
Analizzando tutti i file è emerso chiaramente che i gruppi ransomware operano come una grande azienda tecnologica. C’è una struttura gerarchica e definita, con team leader che riportano al top management e veri e propri reparti aziendali. Si denotano HR, programmatori, tester, esperti in crittografia, amministratori di sistema, reverse engineer, team offensivi, specialisti OSINT e addetti alla negoziazione.
Molti dipendenti lavorano fisicamente in ufficio. Il gruppo Conti, infatti, risulta essere intestatario di diversi uffici fisici di cui è responsabile una persona tracciata nella chat come "Target", che è responsabile delle operazioni all’interno della sede, del fondo salariale, delle attrezzature tecniche degli uffici, delle assunzioni e della formazione del personale.
Lavorano da remoto principalmente i tester, i team offensivi e i negoziatori. Nell’estate del 2000 sono stati aperti ulteriori uffici per gli amministratori di sistema e i programmatori. Il trattamento dei dipendenti è simile a quello delle aziende occidentali: bonus mensili, obiettivi, premi come “dipendente del mese”, valutazione delle performance - a cui possono seguire ammonimenti per il mancato raggiungimento degli obiettivi.
Le persone che fanno parte dei team di negoziazione e gli specialisti OSINT sono invece consulenti esterni pagati a commissione, che sono calcolate come percentuale variabile dallo 0,5% all'1% sull'importo del riscatto pagato. Inoltre, sia i programmatori sia i manager ricevono lo stipendio in bitcoin, una o due volte al mese.
La principale risorsa dell’ufficio HR di Conti sono i servizi di headhunting in lingua russa, come headhunter.ru. Il metodo per contattare i potenziali candidati, tuttavia, è diverso da quelle delle aziende comuni. Il regolamento aziendale, infatti, vieta di pubblicare offerte di lavoro per sviluppatori sui siti di headhunting, quindi l’ufficio del personale sfrutta i CV pubblicati da tali siti, ma poi contatta i candidati direttamente via email bypassando l’headhunting.
Dalle chat è emerso chiaramente che alcuni dipendenti di Conti non sanno di far parte di un'operazione criminale informatica. Ad esempio, in un colloquio di lavoro online, un manager dice a un potenziale candidato per il team di codifica che la funzione principale dell’azienda è la produzione di software per il pentesting.
In un’altra chat, un dipendente manifesta di non capire le funzioni del software che sta sviluppando, e un manager gli risponde che sta contribuendo a un backend per un sistema di analisi degli annunci. In realtà il backend c’era veramente, ma era quello di Trickbot nel linguaggio di programmazione Erlang.
Dalla documentazione sono emersi altri due progetti per il futuro: lo scambio di criptovalute e un social network darknet. Sul primo punto c’è poco da dire: i membri della chat hanno discusso la creazione di uno scambio crittografico nell'ecosistema del gruppo. Il secondo progetto è più interessante: riguarda un "darknet social network" che nei piani dovrebbe essere un progetto commerciale. Alcuni mockup rivelano anche la possibile grafica commissionata e realizzata da un designer. Probabilmente anche lui ignaro della reale natura del committente.
Dopo lo scoppio della guerra in Ucraina e i guai portati dall’hacking delle chat con relativa diffusione pubblica non è dato sapere che fine faranno questi progetti, né tantomeno se il gruppo continuerà ad operare come tale, o se gli affiliati si ricicleranno in altre entità criminali.
Come hanno fatto notare diversi esperti nei giorni scorsi, infatti, sebbene Conti abbia base in Russia e molti dei suoi affiliati abbiano espresso appoggio a Putin, il gruppo comprende molte persone di nazionalità differenti, che non sono necessariamente allineate con questa posizione. Potrebbero già avere tagliato i ponti, ed essere al lavoro in altri gruppi cyber.