Un gruppo di criminali informatici ha utilizzato il codice sorgente rubato a Conti per creare il proprio ransomware da impiegare in attacchi informatici contro le aziende russe. È qualcosa che non è mai accaduto in passato, e che dimostra quanto il conflitto ucraino abbia di fatto cambiato anche gli equilibri all'interno del cybercrime.

L'antefatto è noto: all'indomani dell'invasione dell'Ucraina da parte della Russia alcuni gruppi di cybercriminali si sono schierati a favore di uno dei due fronti. Conti è uno dei gruppi che ha preso le parti di Putin, indignando parte del tessuto criminale internazionale. A causa di questa posizione, lo stesso Conti è stato attaccato e oggetto di data leak.

I dati sottratti sono un patrimonio prezioso per molti, sotto diversi aspetti. I ricercatori di information security hanno potuto vederci chiaro sulla struttura dell'organizzazione criminale e sui progetti futuri degli affiliati. Una notizia recente rivela che anche per i criminali pro Ucraina il data leak è stato prezioso: qualcuno ha usato le temibili armi di Conti contro i suoi stessi "protetti", ossia i russi.

Ricordiamo che spesso i gruppi che fanno base in Russia fanno uso del geofencing per impedire ai tool malevoli di attivarsi sui sistemi di lingua russa. Rivolgendo la stessa arma contro i suoi creatori, ora il malware attacca proprio gli obiettivi che avrebbe dovuto evitare.

L'iniziativa è ricondotta a un gruppo identificato come NB65 che ora prende di mira le organizzazioni russe con attacchi ransomware. Le società attaccate ritrovano, invece della richiesta di riscatto, un messaggio in cui è sottolineato che l'attacco è motivato dall'invasione russa dell'Ucraina. Fra le vittime ci sono l'operatore di gestione dei documenti Tensor, l'agenzia spaziale russa Roscosmos e e l'emittente televisiva statale russa VGTRK.

La scelta non è casuale: si tratta di aziende molto grandi e popolari, di cui è difficile tenere nascosti i problemi. Come da manuale del ransomware 2.0, gli attacchi hanno comportato un'esfiltrazione di dati, anche se lo scopo in questo caso non è il profitto finanziario.

Stando a quanto riferito dalle fonti di stampa estere, a VGTRK sarebbero stati sottratti 786,2 GB di dati, tra cui 900.000 email e 4.000 file. Sono tutti online sul sito Web DDoS Secrets, alla mercé di chiunque voglia consultarli. Saranno presumibilmente di grande interesse sul piano geopolitico.

BleepingComputer è riuscito a intervistare uno degli operatori di NB65, che ha confermato non solo la provenienza del codice, ma anche di averlo modificato per renderlo incompatibile con tutte le versioni del decryptor di Conti. Così facendo le vittime non potranno recuperare i dati, anche con il supporto degli autori del malware.

Non ultimo, la chiave di decodifica dei file è randomizzata per accertarsi che le vittime non possano tornare in possesso delle informazioni senza contattare gli attaccanti, che tuttavia non hanno ricevuto alcuna richiesta, e non prevedono di riceverne. L'ultimo capitolo della vicenda, per ora, è che stando alle dichiarazioni degli operatori questi attacchi proseguiranno fino a quando non terminerà il conflitto armato.