Skip to content Skip to footer

Startup malware: come lavorano le gang cybercriminali

Startup malware: come lavorano le gang cybercriminali

Noi umani soffriamo di un vizio piuttosto fastidioso: tendiamo a complicare le cose semplici, e semplificare quelle complesse. Ad esempio, tendiamo a pensare che i crimini informatici, anche quelli più riusciti, siano responsabilità sempre di pochi, ben celati individui, in grado di svolgere queste operazioni in totale autonomia.

Questo stereotipo, in alcuni casi e contesti non del tutto privo di fondamento, è stato rinforzato da decenni interi di narrazioni estetiche distorte relative a questo mondo. Infatti, sebbene le immagini stock usate da mezzo mondo lo suggeriscano, i cybercriminali tendenzialmente non lavorano al buio, incappucciati e mascherati, soli e isolati dal mondo. Anzi, quello cui assistiamo ormai da anni è una crescente organizzazione di gruppi criminali, con una specializzazione di ruoli e con modalità di lavoro molto simili a quelle di un’azienda del settore IT. Inclusi premi, sistemi di reclutamento, Ceo carismatici, team building, e insoddisfazioni dei dipendenti. 

La dichiarazione pro-Russia e il leak di rappresaglia

Nelle ultime settimane del febbraio 2022 uno squarcio dettagliato sull’organizzazione interna di questi gruppi è arrivato grazie a un importante leak di dati interni del Conti Group, entità che dal 2020 sferra attacchi informatici mediante la diffusione di ransomware, ovvero malware (software malevoli) che bloccano – con la cifratura –  l’accesso ai dati presenti sul dispositivo infettato. Per recuperare l’accesso a questi file, l’attaccante richiede un riscatto alla vittima, da pagare perlopiù mediante criptovalute. 
Al Conti Group, i cui membri sono ormai considerati generalmente riconducibili alla Russia, sono attribuiti moltissimi attacchi ransomware — anche importanti organizzazioni italiane come San Carlo o istituzioni come il Comune di Torino ne sarebbero state vittima. Non solo, il Conti Group è anche l’autore di un vasto attacco all’infrastruttura sanitaria irlandese compiuto nel maggio 2021, che si è esteso fino a bersagli americani come ospedali e i call center del 911

Il 25 febbraio 2022, il giorno dopo l’inizio dell’invasione russa in Ucraina, il Conti Group ha annunciato in un post sul proprio blog che “se qualcuno deciderà di organizzare un cyber-attacco o qualunque attività bellica contro la Russia, utilizzeremo tutte le risorse a nostra disposizione per contrattaccare e colpire le infrastrutture critiche del nemico”.

Due giorni dopo, il 27 febbraio, un account Twitter chiamato ‘ContiLeaks’, apparentemente aperto da un ricercatore ucraino che si occupa di sicurezza informatica, ha però iniziato a pubblicare grandi quantità di dati e chat interne al Conti Group, rivendicando il leak come azione di rappresaglia alla dichiarazione di pochi giorni prima. La descrizione dell’account Twitter ‘ContiLeaks’ è laconica: “fuck ru gov”. (In pratica un insulto verso il governo russo). Oltre alle chat, il ricercatore ha diffuso anche il codice sorgente di un vecchio ransomware Conti, e successivamente, il 20 marzo, anche il codice di una versione molto più recente.

Il leak contiene log estesi delle chat interne Rocket e Jabber del Conti Group, una miniera d’oro per le ricercatrici e i ricercatori di tutto il mondo che si sono cimentati nell’analisi e nella traduzione dei messaggi dal russo. I risultati delle analisi restituiscono un ritratto approfondito e inedito del funzionamento di un’organizzazione criminale come il Conti Group la quale, di fatto, si fonda su una struttura e su dei meccanismi in tutto e per tutto aziendali per sostenere l’infrastruttura necessaria a sviluppare e diffondere malware a scopo di lucro. 

Come funziona “l’azienda” Conti Group

Le chat interne di Conti Group descrivono un’organizzazione di tipo aziendale organizzata attraverso una gerarchia verticale ma capace di approcciare la comunicazione interna in modo orizzontale e flessibile, favorendo la comunicazione diretta tra membri a livelli diversi della gerarchia. Questa rete di comunicazioni, analizzata nel dettaglio da Check Point Research, è intricata e complessa e sottolinea una tendenza all’inter-dipendenza tra i vari membri dell’organizzazione.

Startup malware: come lavorano le gang cybercriminali
Immagine da research.checkpoint.com

È, però, la gerarchia interna di Conti Group a stupire per la sua tradizionale complessità aziendale. Come dettagliato dall’analisi pubblicata dalla società di sicurezza BreachQuest, i log delle chat interne delineano il ruolo di ‘Stern’, le cui relazioni con il resto del team e tono dei messaggi lo identificano come il vertice dell’organizzazione — in un certo senso il CEO, che nel caso di Conti Group si occupa di effettuare i pagamenti degli stipendi, tratteggiare la visione a lungo termine e impostare gli obiettivi strategici

Un altro importante ruolo descritto dai log è quello di ‘Salamandra’, il membro di Conti Group addetto alla gestione delle risorse umane: si occupa di negoziare lo stipendio dei nuovi collaboratori e, sopratutto, gestisce il processo di headhunting necessario a nutrire il Conti Group di nuove competenze e collaboratori in grado di interagire con il resto dell’ecosistema dell’organizzazione. Il solo fatto che nel Conti Group questo ruolo sia chiaramente definito e assegnato è un salto di livello importante per organizzazioni di questo tipo.

Startup malware: come lavorano le gang cybercriminali
Immagine da BreachQuest

Ancora, un ulteriore segnale di “maturità organizzativa” arriva dalla necessità di Conti Group di assegnare uno specifico ruolo per la pianificazione e l’esecuzione non soltanto delle comunicazioni pubbliche, ma anche delle negoziazioni delle estorsioni con le vittime degli attacchi e la consegna delle chiavi di decrittazione alle organizzazioni colpite dopo il pagamento dei riscatti. Nell’organigramma di Conti Group, questo ruolo è ricoperto da un membro conosciuto come ‘Bio’. 

Ma la struttura organizzativa di Conti Group si sviluppa ancora più in profondità. ‘Revers’, stando ai log delle chat, è il membro del gruppo che si deve assicurare delle competenze tecniche a disposizione di ogni membro — segue i colloqui tecnici con i nuovi collaboratori, supporta il processo di onboarding (la procedura di inserimento del “neoassunto”) ed è il punto di riferimento per la distribuzione degli strumenti necessari a svolgere le operazioni. Invece ‘Bentley’ è il sistemista di Conti Group: si occupa della manutenzione dell’infrastruttura tecnica necessaria all’organizzazione per svolgere le proprie operazioni e si assicura che ogni team di lavoro paghi (e abbia il denaro per poterlo fare) gli strumenti tecnici di cui dispongono. 

La capacità di adattamento di un’organizzazione si vede anche e soprattutto dalla sua capacità di formare nuovi collaboratori e integrarli facilmente nei flussi di lavoro preesistenti: ‘Twin’ è il membro di Conti Group responsabile di formare i nuovi arrivati e fornire loro tutte le conoscenze necessarie a svolgere le operazioni e, soprattutto, è incaricato di preparare i membri dell’organizzazione ai diversi scenari in cui si potrebbero imbattere.

Startup malware: come lavorano le gang cybercriminali
Immagine da BreachQuest
La professionalizzazione del cybercrimine

La struttura organizzativa del Conti Group permette all’organizzazione di poter disegnare dei processi di reclutamento, esecuzione delle operazioni e gestione dei rapporti con le vittime decisamente professionali. 
La ricerca di nuovi collaboratori viene effettuata mediante servizi di headhunting esterni, i quali, insieme alle risorse umane di Conti Group, traghettano i candidati all’interno dei colloqui di assunzione mantenendosi vaghi (stiamo pur sempre parlando di crimini informatici) sui dettagli circa il lavoro da svolgere. Ma non solo, in alcuni messaggi riconducibili a ‘Stern’, il CEO, viene sottolineata non solo l’importanza del passaparola tra candidati per trovare nuovi collaboratori, ma si parla addirittura di un programma di affiliazione che assicurerebbe bonus ai nuovi collaboratori in grado di attrarne altri.

Startup malware: come lavorano le gang cybercriminali
Immagine da research.checkpoint.com

In un altro caso, un candidato si è infiltrato all’interno della chat Jabber di Conti Group sfruttando una vulnerabilità per inviare un messaggio direttamente a ‘Stern’, il CEO, sottolineando come il suo hack non possa che essere un fattore positivo nella valutazione della candidatura. E in effetti il CEO apprezza. Proprio come potrebbe accadere in alcune delle più affermate aziende tech.

Startup malware: come lavorano le gang cybercriminali
Immagine da research.checkpoint.com

I candidati che, nonostante la vaghezza iniziale, superano i primi colloqui passano infine alla negoziazione del compenso e dopodiché alla fase finale di onboarding che li porterà ad essere inclusi in squadre specifiche, suddivise per operazioni da svolgere. Una volta dentro, ai collaboratori viene richiesto di “Ascoltare, eseguire, imparare e fare domande, seguire le guide fornite e le istruzioni e completare i compiti assegnati”.

Startup malware: come lavorano le gang cybercriminali
Immagine da BreachQuest

Le storie rilevanti continuano approfondendo l’esperienza dei collaboratori ormai inseriti nel lavoro quotidiano. Le chat pubblicate online indicano la presenza di un sistema di penalità implementato da parte dei manager nei confronti dei collaboratori per punire eventuali errori tecnici o varie forme di assenteismo. “Hai fottuto un altro server. E questa cosa ha fottuto anche me. Multa da 100 dollari,” si legge in una chat di ‘Defender’, mentre rimprovera e punisce un collaboratore per un errore tecnico.

Alcune conversazioni, raccontano di una crisi interna in cui la fascia C-level di Conti Group ha dovuto minacciare l’intero staff per arginare i fenomeni di assenteismo che si stavano verificando. Le analisi delle chat effettuate da Check Point, infatti, rivelano pressioni crescenti da parte dei manager nei confronti dei collaboratori. “Ci sono 100 persone qui, la metà di loro, o anche solo il 10 per cento, non fanno ciò che dovrebbero. Chiedono solo soldi, perché pensano di essere fottutamente utili,” si legge in un log di una chat di Stern (il CEO), in una conversazione con Mango, un altro manager.
“Ciao a tutti,” si legge in un messaggio di ‘Frances’ ripubblicato da Check Point, “Amici! Recentemente ho notato una tendenza triste tra alcuni dei nostri colleghi — si fanno vivi soltanto nei giorni in cui paghiamo gli stipendi. Per questo motivo, il vostro prossimo stipendio dipenderà dal mio buon umore e dal vostro essere online.”
Dei parametri di valutazione quantomeno poco ortodossi.

Oltre alle penalità, ci sono anche i vantaggi. Le chat hanno rivelato la presenza di un grande classico: il premio dipendente del mese, che a quanto pare viene preso piuttosto sul serio dal management di Conti Group, che coglie l’occasione per eseguire una revisione delle performance dell’intero staff, sottolineando diligentemente i punti di forza e quelli di debolezza dei vari team e addirittura incoraggiando i collaboratori a partecipare a corsi di formazione anche ufficiali — in un messaggio, ‘Team Lead 2’ fa riferimento al certificato di ethical hacking erogato dall’EC-Council, l’International Council of Electronic Commerce Consultants, e al certificato Offensive Security Certified Professional erogato da Offensive Security.

Startup malware: come lavorano le gang cybercriminali
Immagine da BreachQuest

Le chat, in definitiva, definiscono il ritratto di un’organizzazione con tutte le caratteristiche e le problematiche tipiche di un’azienda: dal rapporto interno tra dipendenti (a volte addirittura portato avanti utilizzando le loro reali identità), saldo a tal punto da permettere ad alcuni collaboratori di prestare denaro ad altri in temporanea difficoltà, fino agli incontri dal vivo pensati per fare team building, e infine le richieste di aumenti, le lamentele per il rischio di burnout, l’allarme lanciato dai collaboratori per ampliare i team. Ad esempio, come segnalato da Wired, un collaboratore di nome ‘Driver’ parla in alcune chat delle esagerate richieste di disponibilità online: “Per quanto mi riguarda, non sono d’accordo con l’idea che dovrei essere raggiungibile 24 ore su 24 — credo sia una strada che ci porterà direttamente al burnout.”
Tutti questi aspetti e problematiche sono fondamentali nel lavoro di un’organizzazione, e negli ultimi anni sono finalmente diventati centrali anche nel racconto del mondo della tecnologia “sopra la superficie”, oltre che – come raccontano le chat – nel crimine informatico organizzato.

Ogni dipendente Conti è inserito in una settimana lavorativa di 5 giorni, e i turni sono fatti in modo tale da avere sempre disponibile qualcuno 24/7, nel caso si debba risolvere un problema tecnico con la botnet o rispondere in una negoziazione di riscatto. Lo stipendio viene pagato o il primo o il 15 di ogni mese, sotto forma di deposito bitcoin. Molti dipendenti in media sono pagati fra i mille e i duemila dollari al mese. Tuttavia nelle chat alcuni si lamentavano dei turni che impediscono di riposare adeguatamente, o del fatto che il management ignori le loro richieste di ferie. Non manca il rischio che i dipendenti siano “rubati” dalle offerte di altri gruppi cybercriminali in competizione, come racconta l’analisi di Brian Krebs.
E poi ci sono le scenette da vita d’ufficio. Nel quadro organizzativo di Conti Group, ‘Target’ è un manager che si occupa principalmente della gestione degli uffici utilizzati dai collaboratori: i messaggi menzionano diversi locali sfruttati per far incontrare pentester e negoziatori, e operare come una normale azienda. Addirittura, altre conversazioni riportano scene tipiche da vita di piccola e media azienda, come il lavoratore che non riesce a entrare, “non si apre più la porta, venite ad aiutarmi” a cui un altro collaboratore risponde “basta che gli dai un forte colpo, ma fai attenzione perché l’hanno appena verniciata.

Questa struttura, secondo una stima dell’azienda di sicurezza informatica BreachQuest, ha permesso a Conti Group di gestire nel tempo oltre 480 collaboratori, per un flusso di cassa relativo agli stipendi e agli strumenti operativi che ammonta a oltre 6 milioni di dollari soltanto tra il gennaio 2021 e il febbraio 2022.
L’analisi del leak ha permesso di ricondurre a Conti Group oltre 250 wallet Bitcoin, che hanno facilitato transazioni per oltre 50 milioni di dollari soltanto a partire dal settembre 2021. Nel complesso, i ricavi generati da Conti Group supererebbero i 2,7 miliardi di dollari, stima BreachQuest, cifre sbalorditive anche quando associate a forme di guadagno legate ad attività criminali. Al netto del dettagliato spaccato della vita interna a Conti Group, è difficile pensare che gli stessi risultati sarebbero stati raggiunti senza un’organizzazione così strutturata e complessa. 

Le conseguenze del leak

L’unicità di questo leak consiste anche nel fatto che, successivamente al primo round di pubblicazioni di dati, la fuoriuscita di dati è continuata permettendo di osservare e analizzare anche la reazione interna a Conti Group alla violazione. 
Il leak ha portato alla luce dei problemi interni che si portavano avanti da alcuni mesi: la lunga assenza di ‘Stern’, il CEO, diversi casi di mancati pagamenti ai collaboratori a una generica mancanza di direzione strategica.

Startup malware: come lavorano le gang cybercriminali
Immagine da research.checkpoint.com

In ogni caso, sebbene le indicazioni fornite internamente richiedano ai collaboratori di Conti Group di rendersi meno visibili per alcuni mesi, la struttura organizzativa architettata nel tempo da Conti Group non rende difficile immaginarsi la possibilità di fermare e riavviare le operazioni quando ce ne sarà di nuovo la possibilità. 
Nel frattempo, questo sguardo inedito all’organizzazione interna di un gruppo di criminali informatici ha permesso di approfondire la conoscenza di un intero mondo ormai centrale non soltanto per il volume di denaro in grado di spostare, ma soprattutto per il peso geopolitico che nel corso degli anni sta assumendo, come dimostra il casus belli di questo leak.