Il gruppo TAG (Threat Analysis Group) di Google, specializzato nell’individuazione delle minacce online, ha rilevato in una nota diffusa il 7 settembre la presenza di alcuni ex membri del gruppo ransomware Conti tra gli attaccanti delle istituzioni ucraine e delle Organizzazioni Non-Governative italiane che operano nei territori del conflitto. Il gruppo UAC-0098, indagato dai team di sicurezza ucraini, è ritenuto un broker per l’accesso iniziale degli attacchi ransomware ed ha collaborato con gruppi hacker quali Quantum e, appunto, Conti. Andando avanti con l’inchiesta, il gruppo TAG ha notato molte analogie tra le tecniche utilizzati dal gruppo Conti e quelle di UAC-oo98 arrivando alla conclusione che probabilmente alcuni membri di quest’ultimo sono passati a UAC-0098.
La pericolosità del ransomware Conti da molto prima della guerra, ovvero dal 2020, quando i suoi attacchi hanno messo in difficoltà non pochi soggetti pubblici e privati. L’aumento della sua importanza nasce però dalla dichiarazione del sostegno alla Russia nell’invasione in Ucraina. Il governo americano ha a quel punto messo una taglia di 10 milioni di dollari per chi riesce ad impedire la diffusione del malware e la scoperta dei nomi dei responsabili. Tutto questo è accaduto anche a seguito di un violento attacco avvenuto l’aprile scorso che ha avuto come vittima il governo della Costa Rica. Oltre a questo, dopo la dichiarazione di sostegno al paese di Putin il gruppo Conti ha anche provveduto a diffondere una enorme quantità di dati trafugati.
Secondo gli investigatori il gruppo Conti sarebbe anche in procinto di dividersi in più sottogruppi a seguito della perdita di entrate economiche avvenuta proprio a causa del sostegno dichiarato a Putin. Oltretutto, c’è il timore fondato che lo stesso gruppo stia per lanciare un nuovo ransomware chiamato Monti che sembra utilizzare il codice del suo “predecessore”. Andando nel dettaglio, i punti che accomunano l’azione di Conti a quella di UAC-0098 sono principalmente due. Il primo è l’utilizzo di una backdoor mai comunicata che veniva utilizzata dagli hacker di Conti e soprattutto l’utilizzo di strumenti sviluppati proprio da quest’ultimo gruppo.
Gli obiettivi presi di mira ultimamente dagli hacker sono le strutture di ospitalità ucraine, alle quali viene inviata una massiccia quantità di finte email provenienti dal gruppo di cyber police ucraina a scopo di phishing. Le altre vittime, ovvero le ONG italiane, stanno invece ricevendo email fasulle da parte di un account hackerato di un hotel indiano. Il contenuto delle email così come la effettiva efficacia degli attacchi non è al momento nota, ma l’intensificazione di questi attacchi fa presagire che l’obiettivo da colpire è attualmente quello che opera in supporto del popolo ucraino.