Site icon Sophos News

Anatomia del ransomware Conti

Un nome ormai noto nel panorama delle cyberminacce: Conti, il ransomware “human-operated” che da circa un anno si introduce nelle reti aziendali. Dopo aver sottratto dati sensibili ed averli criptati, gli autori di questo attacco minacciano le loro vittime di renderli visibili sul sito “Conti News” qualora non venga pagato il riscatto richiesto.

Il team Sophos Rapid Response, operativo 24 ore su 24 e 7 giorni su 7, è stato chiamato ad analizzare, neutralizzare e fronteggiare questo attacco che si sviluppa in 5 giorni dal momento della compromissione iniziale al ripristino dell’operatività aziendale.

Il report in tre parti rilasciato da Sophos, “The Realities of Conti Ransomware” è formato da:

“Nei casi di attacchi human-operated, chi guida l’offensiva può adattarsi e reagire ai cambiamenti in tempo reale. In questo caso, è stato conquistato contemporaneamente l’accesso a due server, così quando la vittima ha rilevato l’attacco e ha disabilitato uno dei due (convincendosi di aver bloccato il ransomware), i cybercriminali non hanno dovuto far altro che passare all’altro server e continuare il proprio attacco indisturbati. Avere un piano B rappresenta un approccio comune per gli attacchi human-operated ed è un importante promemoria del fatto che aver bloccato un’attività sospetta sulla propria rete non significa che l’attacco sia finito” spiega Peter Mackenzie, manager di Sophos Rapid Response.

Il sito “Conti News” ha pubblicato ad oggi i dati rubati a 180 vittime; Sophos ha creato un profilo delle vittime basandosi su tali dati (che coprono circa 150 aziende i cui dati erano stati pubblicati al momento dell’analisi).

“Nelle aziende in cui non vi è accesso a un team di IT security ben strutturato e definito, sono spesso gli IT manager a trovarsi sulla traiettoria degli attacchi ransomware” aggiunge Mackenzie.

“Sono loro ad arrivare al lavoro una mattina e a trovare tutto bloccato e una minacciosa richiesta di riscatto sullo schermo, a volte seguita da e-mail minacciose e persino da telefonate minatorie. Sulla base delle nostre esperienze di threat hunting, abbiamo messo a punto una lista di azioni che aiuterà gli IT manager ad affrontare le ore e i giorni successivi all’attacco Conti, estremamente impegnativi e stressanti, e a capire dove trovare l’aiuto necessario per porre le basi per un futuro più sicuro” conclude Mackenzie.

Cosa fare immediatamente in caso di attacco:

Le soluzioni di sicurezza proposte da Sophos consentono di bloccare il ransomware Conti e i file ad esso associati.

Exit mobile version