Una gang di ransomware ha estorto 725 BTC in ONE attacco, scoprono gli investigatori on-chain

La conclusione

• Combinando i registri delle chat trapelati a febbraio con le successive analisi dei dati blockchain, i ricercatori hanno raccolto nuove informazioni sulla famigerata gang del ransomware Conti.
• Secondo un'analisi delle chat trapelate condotta CoinDesk , la gang si è avvalsa di broker OTC (over-the-counter) in Russia per incassare le Cripto estorte alle vittime e per pagare i membri per il loro lavoro.
• Secondo le comunicazioni interne degli hacker, almeno ONE ospedale statunitense attaccato dal ransomware Conti durante la pandemia di coronavirus ha pagato il riscatto.
• Secondo un'analisi di Crystal Blockchain pubblicata martedì, i riscatti pagati alla gang potrebbero essere stati pari o superiori a 725 BTC .
• Sono stati individuati nuovi portafogli utilizzati da Conti, ha affermato Crystal.

A febbraio, un hacker ha fatto trapelare i log delle chat di una famigerata gang di ransomware, offrendo una RARE occhiata alle operazioni quotidiane di questa attività criminale e al ruolo fondamentale della criptovaluta in essa. Ma i dati della blockchain aiutano a dipingere un quadro più completo.

I messaggi trapelati hanno mostrato che gli hacker Conti hanno avuto più vittime di quanto riportato in precedenza. Hanno anche rivelato che alcune di queste organizzazioni hanno pagato per riavere indietro i loro sistemi IT e che la gang aveva legami con un'altra famigerata rete di criminali informatici, nota come Ryuk. Forse la cosa più importante è che la cache ha rivelato gli indirizzi del portafoglio Bitcoin (BTC) precedentemente sconosciuti di Conti.

Ciò è servito come punto di partenza per gli investigatori on-chain per riempire altri pezzi del puzzle. Ad esempio, i dati della blockchain mostrano che almeno ONE degli ospedali statunitensi attaccati durante la pandemia potrebbe aver pagato un riscatto agli hacker Conti.

CoinDesk ha esaminato i messaggi trapelati dei membri Conti e ha analizzato i portafogli Cripto e le transazioni degli hacker con l'aiuto della società di analisi on-chain Crystal Blockchain. L'esercizio ha sottolineato un paradosso duraturo delle Cripto: mentre una rete non protetta con transazioni non bloccabili è molto utile per i criminali, il registro pubblico lascia una scia di briciole che le forze dell'ordine e i ricercatori troveranno in seguito.

Gli hacker vengono hackerati

Le gang di ransomware sono una minaccia nata dall'era informatica. Mentre la devastazione che diffondono nelle aziende è talvolta visibile e tangibile (ricordate la carenza GAS provocata dal Attacco al gasdotto colonialel'anno scorso?), la loro identità e il loro modo di operare restano per lo più nascosti.

Ora, come conseguenza indiretta della guerra in Ucraina, il sipario si è leggermente aperto.

Il 25 febbraio il gruppo Contiha dichiarato la sua fedeltàal governo russo in seguito all'invasione dell'Ucraina. Sul suo sito web ufficiale, Conti ha minacciato di vendicarsi contro l'Occidente in risposta a potenziali attacchi informatici contro la Russia. Questo tintinnio di sciabole informatiche sembra aver provocato le fughe di notizie, apparse in diversi luoghi.

UN Ricercatore di sicurezza ucrainoche hanno ottenuto l'accesso all'infrastruttura IT del gruppo hanno fatto trapelare i messaggi che si sono accumulati sul server Jabber/XMPP interno della gang dal 2020 al 2021 a giornalisti e ricercatori sulla sicurezza, secondo la CNN. Altri resoconti dei mediasuggeritola fuga di notizie è stata fatta da un membro ucraino scontento della banda Conti. I messaggi archiviati eranopubblicatoda un account Twitter dedicato alla ricerca di ceppi di malware, noto come @vxunderground.

"Il gruppo ransomware Conti ha precedentemente diffuso un messaggio schierandosi dalla parte del governo russo. Oggi un membro Conti ha iniziato a far trapelare dati con il messaggio 'F**k the Russian government, Glory to Ukraine!'"twittato@vxunderground.

Cartelli estorsivi

Le comunicazioni trapelate della gang Conti offrono una certa visibilità su come possano essere correlati i diversi ceppi di ransomware.

Secondo i messaggi di Conti, il gruppo ha lavorato con vari ceppi di ransomware e gruppi che gestiscono tali ceppi: i membri menzionano di aver lavorato con Ryuk, Trikbot e Maze ransomware. Secondo i messaggi, i membri di Conti non solo gestivano la propria attività di ransomware, ma fornivano anche strumenti e servizi ad altri gruppi di hacker.

Ad esempio, il 23 giugno 2020, il leader del gruppo, soprannominato Stern, dice a un manager di livello inferiore noto come Target, in russo: "Ryuk tornerà presto dalle vacanze. Prenderà tutti i bot che abbiamo. Per lui, abbiamo bisogno di 5k aziende". (Non è chiaro dai messaggi precedenti e successivi a quali aziende si riferisse Stern.)

I messaggi hanno lasciato anche una traccia finanziaria di questa partnership: una transazione in Bitcoin tra le gang Conti e Ryuk, menzionata da Crystal Blockchain in un post di marzo post del blog.

Nel settembre 2019, ONE dei portafogli Bitcoin associati a Conti inviato 26,25 BTC(del valore di circa 200.000 dollari all'epoca) su un portafoglio associato a Ryuk, come mostrano i dati della blockchain.

"Le informazioni di pagamento contenute nelle chat trapelate supportano fortemente questa connessione e il fatto che Conti abbia probabilmente provato a contattare Ryuk", ha affermato Crystal in un post del blog. "Abbiamo anche osservato che Ryuk ha inviato i pagamenti direttamente a un portafoglio Conti che è stato menzionato nella cronologia della chat più volte; ciò suggerisce un'affiliazione e un certo grado di coordinamento operativo tra questi due gruppi".

Leggi anche:Tracciato il nascondiglio Bitcoin degli hacker di DarkSide

In precedenza, i ricercatori sulla sicurezza informaticaha indicato una possibile connessione tra gli operatori del ransomware Ryuk e Conti perché il malware conteneva parti di codice simili. Tuttavia, i collegamenti finanziari tra gli aggressori Ryuk e Conti T erano stati rivelati prima.

Vitali Kremez di Intel avanzataha detto Bleeping Computeril ceppo ransomware utilizzato da Conti è cambiato proprietario più volte nel corso degli anni, a partire da Hermes nel 2017. Poi è stato presumibilmente acquistato da altri hacker e trasformato in Ryuk (probabilmente chiamato così in onore di unPersonaggio manga giapponese). Quindi, il gruppo "si è frammentato, ha cambiato marchio o ha deciso di passare al nome 'Conti', che sembra essere basato sul codice della versione 2 di Ryuk", ha scritto Bleeping Computer.

Conti ha operato durante la pandemia di coronavirus e ha attaccato organizzazioni sanitarie in tutto il mondo, più della metà delle quali si trovavano negli Stati Uniti,secondo l'FBIGli esperti di sicurezza informatica sospettano da tempo la connessione di Conti con lo stato russo, insieme a molte altre bande di ransomware.

Ryuk è noto perhackeraggioLe strutture editoriali del New York Times e del Wall Street Journal nel 2018, così come diverse altre aziende. Sia Ryuk che Conti hanno utilizzato una variante della crittografia AES-256 per crittografare i file delle vittime ed estorcere un riscatto per le chiavi di decrittazione.

Altre vittime

I messaggi trapelati mettono in luce anche l'ampiezza delle aziende attaccate con successo, molte delle quali non erano state segnalate in precedenza.

Il Ridgeview Medical Center con sede in Minnesota era famosoattaccatonel 2020, il primo anno della pandemia, insieme a una serie di altre organizzazioni sanitarie statunitensi, dai ceppi di malware Ryuk e Trickbot. Il gruppo Conti era, a quanto pare, anche dietro quegli attacchi: i membri parlano di aver hackerato con successo la rete di Ridgeview e di aver crittografato i dati di cui il centro medico aveva bisogno per funzionare.

Secondo Crystal, untransazione il 30 ottobre 2020, è molto probabilmente il pagamento di 301 BTC (oltre 4 milioni di dollari all'epoca) che Ridgeview ha inviato a Conti come riscatto.

Un giorno prima, il 29 ottobre, i membri di Conti Target e Stern avevano detto che Ridgeview era pronta a pagare 2 milioni di dollari, ovvero 151 BTC; tuttavia, il presunto partner di Conti, l'organizzatore dell'attacco, "voleva 300 BTC".

Successivamente, secondo i registri delle chat, gli hacker hanno avuto la meglio e il 30 ottobre sono stati inviati 301 BTC da un indirizzo attribuito allo scambio Cripto Gemini a un portafoglioche sembra essere indirettamente correlato ad un altro portafoglio, che i membri di Conti hanno menzionato nelle chat come indirizzo di pagamento per estorsioni, secondo Crystal.

Al momento in cui scriviamo, Ridgeview non ha risposto alla Request di commento di CoinDesk.

Vale la pena ricordare che l'analisi blockchain in una certa misura si basa su ipotesi e l'attribuzione di un indirizzo blockchain a una certa entità reale non è quasi mai precisa al 100%. Tuttavia, Crystal ha affermato di essere piuttosto fiduciosa in ONE.

"La metodologia che abbiamo utilizzato è stata quella di cercare transazioni correlate che avessero lo stesso valore della richiesta di riscatto e che fossero state discusse nel gruppo", ha affermato il direttore dell'intelligence blockchain di Crystal, Nick Smart. Ha aggiunto che Crystal aveva "il 90% di sicurezza" che la transazione fosse il pagamento del riscatto in questione, dati i tempi, l'importo e la connessione ai portafogli Conti segnalati in precedenza.

Il gruppo criminale riuscì a raccogliere anche altri pagamenti, ancora più ingenti.

Il riscatto più grande pagato da una società vittima non identificata a Conti, secondo i registri delle chat, è stato di 725 BTC, ha scoperto Crystal. Quel pezzo di Bitcoin, equivalente a circa 8 milioni di dollari all'epoca, è stato pagato dal mercato del lavoro di Chicago CareerBuilder, ha detto Crystal, poiché la società è stata menzionata nelle chat relative al pagamento di 725 BTC .

Il destinatario di tale pagamento avrebbe potuto esserequesto portafoglio Bitcoin, ha detto Crystal a CoinDesk. Il 10 ottobre 2020, l'indirizzo ricevuto 725 BTC e l'ha immediatamente inviato a un altro indirizzo non associato a nessun servizio Cripto , come mostrano i dati on-chain. Non c'erano altre transazioni che coinvolgevano l'indirizzo, eccetto queste due.

CareerBuilder non ha risposto Request di commento di CoinDesk.

Secondo i messaggi trapelati, potrebbero esserci state circa 30 vittime di Conti non segnalate in precedenza, tra cui Xerox (XRX), l'iconico Maker di fotocopiatrici, ha affermato Crystal. Xerox era nota per essere stata hackerata da una gang di ransomware nel 2020; tuttavia, gli esperti di sicurezza informatica collegatol'attacco alla gang di Maze.

Dai log delle chat non è chiaro se Xerox abbia pagato il riscatto. Nel 2020, i dati relativi all'assistenza clienti di Xerox sono trapelati, il che suggerisce che l'azienda si è rifiutata di pagare il riscatto e ha visto i suoi dati interni trapelati come una punizione,ZDNet ha segnalatoXerox ha rifiutato di rilasciare dichiarazioni per questo articolo.

Anche altri attacchi svolti nello stesso periodo ebbero sicuramente successo.

In particolare, i membri di Conti discutono degli attacchi al produttore canadese di piscine Softub e a diverse aziende con sede negli Stati Uniti: la società di trasporti Piper Logistics, la catena di vendita al dettaglio Sam's Furniture, il Maker di attrezzature per esterni Clarus e la società di gestione del contante Loomis.

Tom Lalonde, direttore operativo di Softub, ha dichiarato in un'e-mail a CoinDesk che l'azienda aveva salvato i suoi dati in backup basati su cloud, per cui T ha dovuto pagare il riscatto.

Tuttavia, l'attacco "ha creato un sacco di problemi", ha detto Lalonde. L'azienda "ha subito alcuni attacchi ransomware durante quel lasso di tempo", ha aggiunto.

Piper Logistics, Sam’s Furniture, Clarus e Loomis non hanno risposto alle richieste di commento.

Nei messaggi, i membri di Conti menzionano l'attacco a 89 aziende, la maggior parte delle quali con sede negli Stati Uniti, insieme a un gruppo di aziende canadesi, australiane ed europee. Non è chiaro quanti degli attacchi abbiano avuto successo e abbiano portato a pagamenti in Bitcoin , ma la portata delle operazioni sembra decisamente enorme, ha affermato Crystal in un post del blogpubblicato martedì.

I membri di Conti menzionano persino piani per infettare Pfizer (PFE), il principale produttore farmaceutico e co-creatore di un vaccino COVID-19, ma non è chiaro se sia stato condotto un attacco e, in tal caso, se abbia avuto successo.

Anche Crystal lo ha dettosituatodiversi portafogli precedentemente non segnalati utilizzati dal gruppo Conti, grazie a quei portafogli menzionati nei registri delle chat: unportafoglio che ha ricevuto 200 BTC da una vittima non identificata il 26 ottobre 2020; un portafoglioche ha raccolto i pagamenti da vari attacchi; unportafoglioi membri delle gang erano soliti gestire le spese operative; e altri.

Il budget degli hacker

Secondo i registri delle chat trapelati, Conti aveva alcunigrandi progetti legati a Cripto e blockchainAd esempio, i membri hanno preso in considerazione l'idea di creare il propriomercato Criptovaluta peer-to-peer e uno strumento basato su contratti intelligentiper estorsione.

Il gruppo ha anche discusso di campagne di disinformazione per abbassare i prezzi delle criptovalute più piccole e potrebbe essere stato coinvolto inTruffa di uscita a tema Squid Game, ricercatore di sicurezza Brian Krebsha scritto.

Ma le interazioni del gruppo con le Cripto sono state per la maggior parte più banali e illustrano esattamente come funzionano le Cripto e come vengono convertite in denaro fiat nel mondo criminale.

I messaggi trapelati mostrano le attività quotidiane del gruppo: i membri discutono dello sviluppo del codice maligno, di cosa funziona e cosa T, dei pagamenti dovuti per i servizi IT utilizzati dal gruppo e delle interazioni con altri gruppi criminali.

Secondo i messaggi esaminati da CoinDesk, i membri di Conti hanno utilizzato le Cripto, tra le altre cose, per pagare i server cloud e le licenze software. Ad esempio, in ONE messaggio, un membro soprannominato Defender chiede a Stern di inviargli 700 $ in Bitcoin per pagare il server che il gruppo sta utilizzando.

Sebbene le Cripto siano il principale metodo di pagamento tra i membri del gruppo, la maggior parte ha preferito ricevere i propri assegni in fiat. Per questo, i membri di Conti hanno utilizzato un broker over-the-counter (OTC), un metodo popolare in Russia e Ucraina, dove gli exchange centralizzati globali sono stati storicamente scarsi.

In un messaggio a un nuovo membro nel luglio 2020, Stern spiega come ricevere uno stipendio mensile: il nuovo arrivato deve trovare uno sportello OTC con un prezzo favorevole sull'aggregatore OTC in lingua russa Bestchange.com, creare un ordine per vendere Bitcoin per un trasferimento con carta di debito e fornire a Stern un indirizzo di deposito che l'OTC genererà.

In questo modo, il “dipendente” riceverebbe denaro in valuta fiat direttamente sulla sua carta di debito, mentre il capo spenderebbe Cripto, utilizzando essenzialmente l’OTC come processore di pagamento.

Gli OTC sono anche il canale principale per i riscatti, come mostrano i log delle chat. In ONE dialogo, un membro di nome Revers spiega come la Cripto estorta viene venduta tramite broker OTC: quando trasferisce Bitcoin, Conti invia dei money mule, o i cosiddetti drop, per riscuotere il denaro, in modo che i veri proprietari dei Bitcoin illeciti rimangano in incognito.

"Per 300.000 dollari, nessuno andrebbe in Russia a Per te", aggiunge Revers.

Anche il pagamento per i prodotti IT e l'utilizzo del server spesso richiede liquidità fiat, ed è qui che i criminali informatici crypto-nativi potrebbero incontrare alcuni ostacoli nel pagamento delle loro bollette. In una chat tra due membri, Strix e Carter, Strix chiede come Carter paga i server tramite PayPal (PYPL), poiché i broker OTC gestiscono solo le somme più grandi dei 7 euro al mese che Strix doveva pagare per utilizzare il suo server personale.

Carter spiega che per prima cosa vende Cripto sul mercato peer-to-peer LocalBitcoins per un bonifico bancario sulla sua carta di debito, e la carta è collegata a un account PayPal. La carta, aggiunge, è "fantasma", ovvero T gli appartiene: presumibilmente, viene utilizzato un money mule.

L'account PayPal è verificato, dice Carter, sollevando la questione se l'account PayPal che sta utilizzando appartenga anche a un money mule o sia stato verificato utilizzando documenti ID rubati o falsificati, un servizio criminale disponibile e fiorente nel darknet, come Indagine di CoinDeskmostrato in precedenza.

Continua a leggere: Per 200$ puoi fare trading Cripto con un falso ID

Oltre all'OTC senza nome, Conti ha utilizzato anche alcuni servizi noti per riscuotere il riscatto, ha detto Crystal. Gli indirizzi associati a Conti hanno inviato Bitcoin a: l'OTC russo ora sanzionato Svevo; IL Idra mercato darknet; lo scambio RenBTC; e indirizzi associati a Wasabi, un portafoglio non custodiale che consente agli utenti di nascondere le origini dei propri fondi unendoli ai Bitcoin di altre persone nei cosiddetti CoinUniscititransazioni.