• Alessia Maldera

Cos’è il gruppo ransomware Conti, gli hacker che stanno attaccando l’Italia

Il gruppo ransomware Conti è un gruppo di hacker che opera contro organizzazioni di tutto il mondo. Molti sono stati gli attacchi anche ad organizzazioni e aziende italiane, ad esempio, fra le ultime vittime in ordine di tempo ci sono la San Carlo, la famosa azienda che produce patatine in busta, e il comune di Torino e sembra proprio che questo gruppo abbia preso di mira l’Italia.


Il ransomware Conti è apparso per la prima volta nel 2020, in maniera ancora molto sporadica, ma nel 2021 gli attacchi sono stati moltissimi. Da ricordare che i ransomware sono dei tipi di malware che vanno a limitare l’accesso del dispositivo che infettano e vanno a chiedere un riscatto (in inglese ransom) alla vittima per rimuovere le limitazioni. Alcune caratteristiche del ransomware Conti suggeriscono che si tratta di una minaccia destinata ad un basso livello di diffusione ed operata manualmente all’interno degli ambienti vittima per i quali è prevista una estesa fase di raccolta informativa.


Inoltre, questo gruppo ha dimostrato nel tempo una forte capacità di adattamento che difficilmente è osservabile in altri gruppi del genere. Molto probabilmente si tratta di un gruppo molto organizzato, al cui interno il livello di collaborazione fra i cybercriminali affiliati deve essere molto alto. Tra le altre cose, il livello di abilità di questi attacker è molto elevato, in particolare si crede che il reclutamento avvenga soprattutto in base alle capacità di questi individui di saper neutralizzare qualsiasi modo la vittima abbia di procedere con il ripristino dei dati.


Per quanto riguarda il modus operandi di Conti, esso risulta essere abbastanza vario vario. Questi sono i metodi che più utilizzano:


  • Campagne di phishing che utilizzano email su misura che contengono allegati dannosi o link dannosi;

  • Credenziali rubate o deboli spesso acquistate sul Dark Web;

  • Chiamate telefoniche;

  • Software falsi;

  • Altre reti di distribuzione di malware (ad esempio, ZLoader);

  • Vulnerabilità comuni.


Dunque il ventaglio di possibili scenari di compromissione che il gruppo può mettere in atto risulta piuttosto ampio. L'obiettivo finale di Conti è, come già detto, ottenere un riscatto dalle vittime perché esse possano di nuovo avere accesso ai propri dati.


Infine, nel settembre del 2021 hanno anche rilasciato una delle poche dichiarazioni pubbliche a nome loro: le aziende hackerate che non pagheranno il riscatto a Conti vedranno i propri dati e file rubati resi pubblici o consegnati alla stampa. Inoltre il gruppo ha ammesso che non tollererà più che gli screenshot delle conversazioni riguardanti il pagamento del riscatto vengano condivise online, quindi le regole per le vittime d’ora in poi saranno ancora più stringenti. Ovviamente, questo è anche un modo per tenere il nome del gruppo al di fuori della copertura mediatica.