Contromisure e visibilità, fattori vitali per difendersi dagli aggressori che cercano di acquistare prodotti di sicurezza

La perdita dei registri delle chat interne del ransomware Conti ha rivelato che gli aggressori hanno cercato di acquistare un software di sicurezza in modo da poter capire come aggirarlo ed evitare il rilevamento

Nei giorni scorsi un ricercatore di sicurezza ucraino ha fatto trapelare diversi anni di log e file di chat dal gruppo Conti. Conti è un gruppo di ransomware che Sophos segue da vicino da diversi anni. Il 28 febbraio abbiamo segnalato un attacco Conti contro un fornitore di servizi sanitari.

In quei log della chat vediamo menzione di come il gruppo Conti abbia provato, e non sia riuscito, ad acquistare licenze di Sophos Intercept X (o “Endpoint Security”). Secondo la chat, lo stavano facendo in modo da poter testare il loro ultimo malware e vedere se i prodotti Sophos lo avrebbero rilevato.

Si tratta di una strategia comune tra gli sviluppatori e i gruppi di malware: acquisiscono o rubano quanto più software di sicurezza possibile per testare se possono eluderlo efficacemente. Si tratta ormai una pratica abituale in tutto il settore della sicurezza e Sophos adotta precauzioni per mitigare il rischio nello sviluppo del prodotto e nelle operazioni.

La cosa interessante è che i log delle chat mostrano che i tentativi di Conti di aggirare i prodotti Sophos non hanno avuto successo e che, di conseguenza, il gruppo ha tentato di acquisire una licenza per ottenere ulteriore accesso per i suoi test.

Ottenere l’accesso ai prodotti di sicurezza

Per cominciare, possiamo vedere che il gruppo Conti si è registrato per una prova gratuita, disponibile online. Potresti chiederti: “Perché non impedisci loro di ottenere un account di prova?” La risposta è semplice: qualsiasi tipo di blocco potrebbe inavvertitamente vietare utenti legittimi che ci forniscono informazioni preziose e ci aiutano meglio a difendere i nostri consumatori e partner.

In seguito, il 27 maggio 2020, il gruppo Conti ha tentato di aggiornare la prova gratuita acquistando il prodotto completo.

Hanno cercato di farlo con la falsa identità di una società fittizia chiamata DocSoft, che fingeva di avere sede a Kiev, in Ucraina. È stata attivata una delle nostre contromisure per questo tipo di attività: abbiamo segnalato l’account come sospetto e, con il nostro partner di canale nella regione, abbiamo detto che avevamo bisogno di una conversazione video prima di procedere con la transazione.

Tale contromisura è risultata efficace: il gruppo Conti, a questo punto, ha abbandonato l’operazione. A quanto pare una videochiamata era troppo rischiosa.

I log delle chat trapelati corrispondono a questa sequenza temporale: possiamo vedere nei log pubblicati che i tentativi del gruppo Conti di ottenere queste licenze sono falliti.

Cos’altro abbiamo imparato dai log?

Vale la pena notare che i log indicano anche che uno dei motivi per cui stavano cercando di ottenere un maggiore accesso ai prodotti Sophos è perché le nostre soluzioni stavano contrastando con successo alcuni aspetti del loro malware e delle loro tecniche. Evidentemente speravano di provare a utilizzare i prodotti con licenza completa per capire come aggirare quelle protezioni che li stavano bloccando.

Perché raccontare questa storia?

Riteniamo importante che i fornitori di servizi di sicurezza condividano le informazioni su come gli avversari tentano di acquistare prodotti in quanto ciò può aiutare gli altri a stare in allerta e riconoscere i segnali rivelatori in modo da poter proteggere meglio i nostri clienti.