Guerre di Rete - Il gran finale di Conti?
Cybercriminali e Russia. Attacchi all'Italia. Strategie nazionali.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.134 - 22 maggio 2022
Ricordo che questa newsletter (che oggi conta più di 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori.
In più, a marzo il progetto si è ingrandito con un sito di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Cybercriminali pro-Russia
- Il gran finale del gruppo Conti
- Attacchi all’Italia
- Strategia nazionale di cybersicurezza
- Altro
GUERRA IN UCRAINA
Variante ransomware “schierata” pro-Russia
La scena cybercriminale, che la guerra in Ucraina ha in parte “hacktivizzato” creando delle idre dalle molte facce che mescolano moventi economici e politici, sembra essere in tumultuoso movimento. La società di cybersicurezza Fortinet questa settimana segnala una variante del ransomware (software malevolo che cifra i file e chiede un riscatto) Chaos che sembra aver preso una piega pro-Russia. Gli attaccanti che usano questa variante non hanno alcuna intenzione di fornire una chiave per decifrare i dati e documenti, il che rende il malware “un distruttore di file”, scrivono i ricercatori. E la nota lasciata alle vittime si scaglia contro Zelensky, mentre le estensioni dei file cifrati hanno un chiaro riferimento negativo al battaglione Azov (.f***azov). Per Fortinet c’è da aspettarsi altri malware di questo tipo col proseguire della guerra.
Conti Reloaded
Mentre in Costa Rica va in scena (e vedremo che il termine potrebbe essere molto pertinente) il ricatto di Conti, uno dei più famigerati gruppi ransomware, la stessa gang sembra aver iniziato un’operazione di migrazione. Anzi, di apparente disgregazione in vista di un riposizionamento più discreto, lontano da riflettori e polizie. Ma procediamo con calma. Come sapete dalla scorsa newsletter, la Costa Rica è stata colpita da un pesante attacco ransomware, con richiesta milionaria di riscatto da parte di Conti e proclamazione di un’emergenza nazionale. Il ransomware avrebbe colpito almeno 27 istituzioni - di cui nove in modo significativo - anche se sembra ancora mancare una chiara diagnosi dell’impatto ed estensione dell’incidente. Sappiamo che il governo ha molte difficoltà a svolgere operazioni come la riscossione delle tasse o il pagamento degli stipendi. Ora il neo-presidente Rodrigo Chaves ha definito l’attacco una crisi nazionale, e soprattutto ha detto che ci sarebbero dei collaboratori in Costa Rica che stanno aiutando o hanno aiutato la gang cybercriminale (di origine russa, se ricordate Conti si era pure schierato con Mosca a guerra iniziata, un gesto che come vedremo ne ha decretato la fine apparente). Siccome il governo della Costa Rica non avrebbe pagato il riscatto (passato da 10 milioni a 20), il gruppo ha pure diffuso un messaggio rivolto alla popolazione affinché si ribelli al governo.
La situazione era già abbastanza surreale, ma ora viene il bello. Perché in realtà, in contemporanea a quanto appunto stava avvenendo sotto gli occhi di tutti in Costa Rica, Conti Group stava avviando di soppiatto una sua uscita di scena. Questa è almeno la tesi di alcuni ricercatori. A partire da quelli della società AdvIntel, secondo i quali la gang starebbe smantellando le sue infrastrutture, mentre i leader del team hanno annunciato agli altri la fine del “brand”. In pratica anche se il gruppo ha mantenuto in vita il suo sito pubblico (dove negli ultimi giorni si era lanciato pure in discorsi anti-americani), di fatto ha chiuso tutta la parte più operativa, legata alle negoziazioni, al caricamento dei dati e via dicendo, spiega un post del blog di AdvIntel. Secondo il quale per due mesi Conti (un gruppo altamente organizzato, con una divisione del lavoro interna simile a quella di un’azienda IT, come abbiamo raccontato in un articolo sul sito Guerre di Rete qualche settimana fa) ha lavorato in silenzio per creare delle sottodivisioni (Conti aveva già alcune “filiali”, sotto vari nomi: KaraKurt, BlackByte, BlackBasta) che iniziassero a operare prima della chiusura pubblica delle sue attività. Il tempismo era importante perché chiudere le attività di un gruppo così noto per farlo rinascere dopo con un altro nome è un po’ il segreto di Pulcinella. Il punto è iniziare prima a disperdersi e depistare.
E qui arriva l’attacco spettacolare alla Costa Rica. Che, secondo la tesi di AdvIntel, avrebbe avuto come unico obiettivo non quello di fare soldi ma appunto di depistare. Sollevare un gran polverone sulle attività di Conti proprio mentre Conti se ne esce di scena in piccoli gruppetti, pronti a darsi nuovi brand. Il Gran Finale di Conti, lo chiama AdvIntel. “L’unico obiettivo di Conti con questo attacco finale era di usare la piattaforma come uno strumento di pubblicità, eseguendo la loro morte e successiva rinascita nel modo più plausibile”, scrivono i ricercatori.
Questo intento sarebbe stato dichiarato internamente dai leader ad altri membri del team prima dell’attacco. E sempre comunicazioni interne del gruppo suggerirebbero che la richiesta di riscatto era in realtà molto più bassa, ma solo perché c’era la consapevolezza che non avrebbero mai visto i soldi. L’importante era dare l’illusione di essere ancora in vita.
Sempre secondo i ricercatori, il brand Conti era divenuto inutilizzabile e tossico subito dopo l’annuncio della sua fedeltà a Mosca sulla guerra in Ucraina. Non solo la mossa aveva provocato dissidi interni (con il famoso leak sui dati e le chat interne del gruppo), ma aveva anche reso impossibili i pagamenti delle vittime al gruppo. Proprio perché la Russia è sotto sanzioni, un gruppo cybercriminale esplicitamente russo e pro-Russia avrebbe determinato il rischio di violare le regole OFAC (Office of Foreign Assets Control) del dipartimento del Tesoro Usa e le policy sulle sanzioni. Tanto più che a maggio il dipartimento di Stato Usa ha messo una taglia di 10 milioni di dollari per informazioni sul gruppo.
Questa trasformazione di Conti, per quanto possa sembrare per ora un ripiegamento, preoccupa alcuni analisti, come Allan Liska, intelligence analyst a Recorded Future e autore del libro Ransomware: Understand. Prevent. Recover. Liska dice di aver visto una proliferazione di “nuovi” gruppi ransomware negli ultimi sei mesi, e una svolta verso una strategia in stile ISIS e un modello fatto a cellule. Il che potrebbe significare più difficoltà per forze dell’ordine e indagini.
“In base a quello che dicono - commenta Liska a Guerre di Rete - i gruppi (cui si stanno unendo i membri di Conti, ndr) sono separati fra loro. Ma è sempre una cattiva idea prendere per buono quello che dicono i gruppi ransomware. Specie gruppi come Conti che hanno fatto un sacco di soldi con il modello RaaS (Ransomware as a service) per cui ho difficoltà a pensare che siano disposti a dare via parte di quegli introiti. Penso che potrebbero trovare un modo per mantenere un collegamento tra i gruppi, ma non sono sicuro al 100 per cento di come funzionerebbe”.
Leggi anche: Startup malware: come lavorano le gang cybercriminali
CYBERATTACCHI ALLA SANITA’
Groenlandia in difficoltà
Ancora un sistema sanitario in difficoltà a causa di un attacco informatico (non è stato specificato di che tipo, i sospetti sembrano essere su un ransomware). Questa volta è successo alla Groenlandia che per oltre una settimana ha avuto seri problemi con i sistemi IT della sanità, col personale degli ospedali che non poteva accedere ai dati dei pazienti, i server email e i portali down ecc (The Record). In Europa c’era stato mesi fa anche il caso dell’Irlanda, il cui sistema sanitario era stato messo in ginocchio da un ransomware, in quel caso proprio per mano del gruppo Conti. Ne ho scritto in newsletter e ne abbiamo scritto sul sito Guerre di Rete in un articolo dedicato a cosa succede nei nostri ospedali.
ITALIA
Attacchi DDoS contro siti istituzionali italiani
Ministero degli Esteri, Consiglio Superiore della Magistratura, Senato e Ministero della Difesa sono alcuni dei siti web istituzionali italiani che hanno sofferto momenti di grande rallentamento, con anche brevi down, e un’altalena di disservizi diffusi, a causa di una serie di attacchi DDoS (che saturano le risorse del target in modo da farlo andare offline) partiti dal collettivo russo Killnet. “È nella serata di ieri (19 maggio) che i cyber criminali di Legion, costola di attivismo nata per lo più da membri del gruppo KillNet, hanno lanciato delle precise minacce contro l’Italia sul loro canale Telegram”. ha scritto Cybersecurity360.
Il giorno dopo è stata la volta dei siti di alcuni aeroporti: Linate e Malpensa a Milano, Bergamo, Rimini, Genova e Olbia. “Indicato ancora anche il ministero della Difesa e l'agenzia coreana che rivende i biglietti di Trenitalia, forse un errore del gruppo che voleva in realtà aggredire il gruppo ferroviario italiano”, scrive Wired Italia.
Ho raccontato il gruppo Killnet la scorsa settimana. Aggiungo solo una riflessione che ho già espresso su Twitter. La conflittualità cyber è in crescita e resterà tale fino a una stabilizzazione del quadro internazionale, al momento purtroppo ancora lontana. Ci saranno una varietà di attacchi, di natura ed entità diversa, provenienti da gruppi diversi, ognuno di questi impegnato in modo più o meno efficace in attività di depistaggio e propaganda. Sarà uno stillicidio di DDoS più o meno dimostrativi, phishing, malware, ma peggio saranno i ransomware che già colpiscono gli ospedali, questi in genere di natura solo criminale. Con un diluvio di proclami di hacktivisti più o meno organizzati e sconclusionati, criminali che si riciclano, e hacker militari inquadrati in azioni di ben più alto profilo. Per cui ora più di prima serve tanta umile cronaca, ma anche precisione tecnica (per quanto possibile coi pochi elementi a disposizione a volte), e freddezza di fronte ai proclami e ai comunicati di tutte le parti. Soprattutto, non serve fare allarmismo. Grande è la confusione sotto il cielo, e la situazione è eccellente al momento solo per quelli a cui fa gioco operare nell’ombra e per i propri interessi.
Italia, arrivano la Strategia di cybersicurezza (e i soldi)
In questa temperie, il Governo ha appena varato la Strategia nazionale di cybersicurezza 2022-2026. “Un'ottantina di azioni per rafforzare la resilienza nella transizione digitale del sistema Paese; conseguire l'autonomia strategica in questa dimensione; anticipare l'evoluzione della minaccia; gestire le crisi e contrastare la disinformazione online”, scrive Ansa. “Sarà l'Agenzia per la cybersicurezza nazionale a garantire l'implementazione della Strategia”.
“Accanto alla strategia, che definirà le linee guida per mettere in sicurezza tecnologie strategiche come il 5G, il Cloud o l’intelligenza artificiale, sarà pubblicato nei prossimi giorni un documento di implementazione con 85 obiettivi da raggiungere nei prossimi quattro anni e il riferimento alle Pubbliche amministrazioni che dovranno occuparsene”, scrive Formiche.
In particolare, scrive Il Sole 24 Ore del 19 maggio, con la "Strategia Nazionale di cybersicurezza 2022-2026", il “governo destina alla lotta contro gli attacchi cibernetici, ogni anno, l'1,2% degli investimenti nazionali lordi”. Sono finanziamenti per progetti specifici che “devono portare all'autonomia tecnologica in ambito digitale. E all’innalzamento dei livelli di cybersicurezza”. Previsti anche sgravi fiscali per le aziende, e aree a tassazione agevolata. C’è anche l’obiettivo di un parco nazionale della cybersicurezza e relativi hub delocalizzati.
Europa, accordo sulla direttiva sulla cyber (NIS 2)
Qualche giorno prima l’Unione europea aveva trovato un accordo sulla rivisitazione della direttiva NIS, la NIS 2, per rafforzare la cybersicurezza delle proprie infrastrutture critiche. La legislazione impone una lunga lista di requisiti ad aziende, organizzazioni e PA - scrive Politico - incluso il patching delle vulnerabilità software, la preparazione di misure della gestione del rischio, la condivisione di informazioni e la segnalazione alle autorità di incidenti entro 24 ore, così come la consegna di un report entro tre giorni. “Le organizzazioni rischiano multe fino al 2 per cento del turnover per operatori di servizi essenziali, 1,4 per cento per i fornitori di servizi importanti”.
“Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione”, scrive il comunicato del Consiglio europeo. “Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione. (...) Il testo chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l'attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall'ambito di applicazione. Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la NIS 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi a tali enti anche a livello locale”.
Come ha segnalato su Twitter Gianluca Varisco (nella security di Google, già membro del Team per la Trasformazione Digitale italiano) la NIS 2 introduce anche l’importanza di stabilire delle policy di Coordinated Vulnerability Disclosure (CVD) e dei processi per segnalare e gestire vulnerabilità, e invita gli Stati Membri a prendere misure per facilitare una segnalazione coordinata delle vulnerabilità, stabilendo policy nazionali ad hoc. Inoltre spinge affinché gli Stati si occupino di gestire i rischi legali ancora oggi affrontati dai ricercatori che segnalano vulnerabilità.
Nel mentre in Europa sta per andare in onda un film già visto, Big Telecom contro Big Tech. In particolare le telco europee ritengono che le piattaforme abbiano beneficiato della crescita della rete fissa e mobile in Europa senza partecipare alle spese per la sua infrastruttura. E ora potrebbero trovare una Commissione Ue più solidale con le proprie posizioni che in passato, scrive Politico.
KILLER ROBOTS
Guerra e armi autonome: perché è l’ora di parlarne
I killer robots sono qua e bisogna regolarli, ha scritto giorni fa Foreign Policy (in inglese). E proprio di questo abbiamo scritto sul sito Guerre di Rete questa settimana, in un lungo approfondimento che parte dai sistemi semi-autonomi già usati in Ucraina e finisce alla corsa internazionale ai killer robot. Chi vuole regolamentarli, chi li produce, e che ruolo ha l’industria tech. Di Chiara Poletti.
Guerra e armi autonome: perché è l’ora di parlarne - Guerre di Rete
APPROFONDIMENTI
Nella testa di Vladimir Putin. Viaggio all’interno del pensiero del nuovo Zar di Russia [podcast] - Valigia Blu
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social.O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).