L’hack dei dati del gruppo ransomware Conti del 27 febbraio rivela informazioni interessanti sulla strutturazione dei gruppi del cybercrime. I ricercatori di Check Point Research hanno passato al setaccio le informazioni trapelate, e hanno scoperto che Conti è strutturato come un'azienda hi-tech, con un management, un comparto finance e un HR. Conti recluta i propri dipendenti non solo dal dark web, ama che fuori, analizzando i CV e facendo proposte di lavoro del tutto ordinarie. I ricercatori hanno trovato le prove che alcuni dipendenti di Conti non hanno idea di far parte di una realtà del cybercrime.

Ricordiamo che Conti è un gruppo Ransomware-as-a-Service (RaaS), in gli affiliati affittano l'accesso alla sua infrastruttura per lanciare i cyber attacchi. Gli esperti di settore reputano che Conti abbia sede in Russia e potrebbe avere legami con l'intelligence russa, ma il dato è ovviamente difficile da verificare. Quello che è certo è che Conti è stato accusato di attacchi ransomware contro dozzine di aziende e infrastrutture critiche, fra cui il servizio sanitario irlandese.

L’azienda Hi-tech

Analizzando tutti i file è emerso chiaramente che i gruppi ransomware operano come una grande azienda tecnologica. C’è una struttura gerarchica e definita, con team leader che riportano al top management e veri e propri reparti aziendali. Si denotano HR, programmatori, tester, esperti in crittografia, amministratori di sistema, reverse engineer, team offensivi, specialisti OSINT e addetti alla negoziazione.

Molti dipendenti lavorano fisicamente in ufficio. Il gruppo Conti, infatti, risulta essere intestatario di diversi uffici fisici di cui è responsabile una persona tracciata nella chat come "Target", che è responsabile delle operazioni all’interno della sede, del fondo salariale, delle attrezzature tecniche degli uffici, delle assunzioni e della formazione del personale.

Lavorano da remoto principalmente i tester, i team offensivi e i negoziatori. Nell’estate del 2000 sono stati aperti ulteriori uffici per gli amministratori di sistema e i programmatori. Il trattamento dei dipendenti è simile a quello delle aziende occidentali: bonus mensili, obiettivi, premi come “dipendente del mese”, valutazione delle performance - a cui possono seguire ammonimenti per il mancato raggiungimento degli obiettivi.

Le persone che fanno parte dei team di negoziazione e gli specialisti OSINT sono invece consulenti esterni pagati a commissione, che sono calcolate come percentuale variabile dallo 0,5% all'1% sull'importo del riscatto pagato. Inoltre, sia i programmatori sia i manager ricevono lo stipendio in bitcoin, una o due volte al mese.

Assunzioni e gestione del personale

La principale risorsa dell’ufficio HR di Conti sono i servizi di headhunting in lingua russa, come headhunter.ru. Il metodo per contattare i potenziali candidati, tuttavia, è diverso da quelle delle aziende comuni. Il regolamento aziendale, infatti, vieta di pubblicare offerte di lavoro per sviluppatori sui siti di headhunting, quindi l’ufficio del personale sfrutta i CV pubblicati da tali siti, ma poi contatta i candidati direttamente via email bypassando l’headhunting.

Dalle chat è emerso chiaramente che alcuni dipendenti di Conti non sanno di far parte di un'operazione criminale informatica. Ad esempio, in un colloquio di lavoro online, un manager dice a un potenziale candidato per il team di codifica che la funzione principale dell’azienda è la produzione di software per il pentesting.

In un’altra chat, un dipendente manifesta di non capire le funzioni del software che sta sviluppando, e un manager gli risponde che sta contribuendo a un backend per un sistema di analisi degli annunci. In realtà il backend c’era veramente, ma era quello di Trickbot nel linguaggio di programmazione Erlang.

I progetti per il futuro

Dalla documentazione sono emersi altri due progetti per il futuro: lo scambio di criptovalute e un social network darknet. Sul primo punto c’è poco da dire: i membri della chat hanno discusso la creazione di uno scambio crittografico nell'ecosistema del gruppo. Il secondo progetto è più interessante: riguarda un "darknet social network" che nei piani dovrebbe essere un progetto commerciale. Alcuni mockup rivelano anche la possibile grafica commissionata e realizzata da un designer. Probabilmente anche lui ignaro della reale natura del committente.

Dopo lo scoppio della guerra in Ucraina e i guai portati dall’hacking delle chat con relativa diffusione pubblica non è dato sapere che fine faranno questi progetti, né tantomeno se il gruppo continuerà ad operare come tale, o se gli affiliati si ricicleranno in altre entità criminali.

Come hanno fatto notare diversi esperti nei giorni scorsi, infatti, sebbene Conti abbia base in Russia e molti dei suoi affiliati abbiano espresso appoggio a Putin, il gruppo comprende molte persone di nazionalità differenti, che non sono necessariamente allineate con questa posizione. Potrebbero già avere tagliato i ponti, ed essere al lavoro in altri gruppi cyber.