Il gruppo Ransomware Conti è riemerso e ora opera in tre gruppi: TRM Labs

Il mondo della criminalità informatica ha assistito ad alcuni notevoli cambiamenti nel corso dell'ultimo anno: nuovi mercati darknet hanno preso il posto di Hydra, che era stato chiuso, e gli operatori del famigerato gruppo ransomware Conti sono stati rinominati con nuovi nomi, ha affermato la società di analisi blockchain TRM Labs.

In unnuovo rapportoanalizzando la riorganizzazione dell'industria del cybercrime dall'inizio della guerra russa in Ucraina, TRM ha nominato i presunti successori di Conti, una gang ransomware un tempo nota che ha estorto centinaia di bitcoin alle aziende statunitensi, tra cui organizzazioni sanitarie, durante la pandemia di COVID-19. Secondo TRM, Conti "ha cambiato marchio in almeno tre gruppi più piccoli: Black Basta, BlackByte e Karakurt".

Conti ha attaccato con successo diverse organizzazioni negli Stati Uniti, crittografando i loro sistemi IT e chiedendo un grosso riscatto per sbloccare i file. Nel 2022, il gruppoha giurato fedeltàalla Russia nella guerra appena iniziata in Ucraina. Poco dopo, presumibilmente, un insider scontento della decisionetrapelato gigabyte di messaggi scambiati tra i membri del gruppo, in cui si discute di hack, pagamenti, modi per incassare Cripto e semplicemente della loro vita quotidiana.

Ma presto, sia a causa della fuga di notizie che per altri motivi, Conti avrebbe riferitocessate le operazioniTuttavia, gli hacker non si sono arresi e i portafogli Cripto collegati agli operatori Conti sono rimasti attivi e probabilmente sono passati ad altri ceppi di ransomware.

Continua a leggere: Una gang di ransomware ha estorto 725 BTC in ONE attacco, scoprono gli investigatori on-chain

A gennaio, Chainalysis pubblicatoun rapporto che afferma che i portafogli del presunto leader di Conti, Stern, "hanno effettuato transazioni con indirizzi collegati a ceppi come Quantum, Karakurt, Diavol e Royal nel 2022 dopo la scomparsa di Conti", poiché gli operatori di ransomware, a quanto pare, di solito lavorano con più varianti di malware, collaborando simultaneamente con un gruppo di collettivi di hacker contemporaneamente.

TRM afferma che il principale successore di Conti è molto probabilmente il gruppo ransomware noto comeKarakurtIl LINK tra i due era precedentemente suggerito dagli esperti di sicurezza informaticaSecondo l'azienda di sicurezza informatica Avertium, Karakurt solitamente attacca organizzazioni che sono già state compromesse in precedenza.

Proprio come Conti, Karakurt non è stato al di sopraattaccare le organizzazioni sanitarie, in particolare un fornitore di fatturazione Practice Resources, che è statocolpo con un attacco nell'agosto 2022. Tuttavia, a differenza di Conti, Karakurt non ha crittografato i file delle vittime, ma li ha solo rubati e ha minacciato le vittime di divulgarli se T fosse stato pagato un riscatto.

Secondo TRM Labs, Karakurt è attivo almeno da ottobre 2021. Sia Conti che Karakurt hanno utilizzato lo stesso indirizzo per inviare i pagamenti ransomware ricevuti a ottobre 2021, afferma TRM, e in seguito quell'indirizzo ha inviato il denaro a un "exchange ad alto rischio".

"La cronologia delle attività off-chain e on-chain di Karakurt conferma che il gruppo era attivo molto prima della chiusura ufficiale di Conti avvenuta nel maggio 2023. Karakurt sembra essere stato creato da Conti nel 2021 ed è diventato pienamente operativo con il suo nuovo marchio nel 2022", ha detto a CoinDesk il responsabile degli affari legali e governativi di TRM Labs, Ari Redbord. Ha aggiunto che molto probabilmente, dietro Conti e Karakurt c'erano le stesse persone.

Per quanto riguarda i metodi di cash-out per i criminali informatici, i mercati darknet, dove venditori anonimi offrono droghe illegali, documenti falsi e altri beni e servizi ombra, stanno diventando un canale di riciclaggio di denaro popolare, ha affermato TRM Labs nel rapporto. In un certo senso, queste piattaforme uniscono i fondi dei loro utenti su portafogli centralizzati, e servono in parte come una sorta di mixer, hanno affermato i rapporti.

Questa opzione di riciclaggio di denaro ha attirato ancora più criminali informatici di recente, in particolare quelli che traggono profitto dal materiale di abuso sessuale sui minori (CSAM), o pornografia infantile, ha affermato TRM. L'azienda ha registrato un aumento degli afflussi Cripto correlati al CSAM verso le piattaforme darknet associate alla Russia, ha affermato il rapporto.

La guerra potrebbe aiutare questa tendenza, poiché la Russia è diventata sempre più isolata dall'Occidente in senso politico ed economico, ha affermato TRM. "È possibile che l'estraniazione politica ed economica della Russia dall'Occidente abbia alimentato la percezione che il paese sia una giurisdizione amichevole per i criminali che cercano di eludere le forze dell'ordine occidentali", ha aggiunto.