In circolazione dallo scorso luglio, del ransomware Conti finora se n'è parlato troppo poco. I ricercatori di cyber sicurezza di Carbon Black (che trovi qui, in inglese) hanno evidenziato caratteristiche inedite: utilizzando fino a 32 threads contemporanei e indipendenti per una velocità di propagazione e cifratura molto maggiore degli altri ransomware in circolazione, sfruttando opzioni di linea di comando che gli consentono di controllare la scansione dei dati. Questo comportamento fa sospettare che il rilascio sia stato organizzato da vere e proprie organizzazioni criminali a scopo di lucro.

L'altra caratteristica davvero preoccupante è la possibilità di saltare la cifratura di file locali. Conti prende di mira esclusivamente quelli SMB, caratteristica che finora era appannaggio solamente di Sodinokibi (REvil). Questo consente il "salto di specie" dal mondo Windows agli altri linguaggi (come il mondo NAS, Linux ecc), rendendolo, se non viene riconosciuto in tempo, inarrestabile. Il tocco finale è l'infezione del Windows Restart Manager per essere certi che tutti ma proprio tutti i file possano essere cifrati. Questo consente non solo di cifrare il disco rigido del computer vittima dell'attacco, ma anche tutte le condivisioni di rete e addirittura indirizzi IP specifici. Durante la sua esecuzione blocca i servizi di Windows che potrebbero creare problemi all'azione malevola dell'attacco (addirittura 146 comandi su 160 sono dedicati al blocco di questi servizi) e interrompe il ripristino del sistema locale tramite eliminazione delle copie shadow.

Conti, azione e conseguenze

Secondo i ricercatori, Conti presenta alcune funzioni attive pensate per contrastare i processi di rilevamento della minaccia e di reverse engineering (per comprenderne il funzionamento e annullarne gli effetti), che assieme ad alcune somiglianze con i tristemente noti ransomware Sodinokibi e Ryuk, ha portato a definirlo addirittura la "rappresentazione standard del ransomware moderno", ridefinendo di fatto il livello delle minacce informatiche cui siamo quotidianamente sottoposti.

Il risultato finale? Una vera catastrofe. Tutti i file compromessi avranno un'estensione extra denominata .CONTI e verrà generato un file di testo sul desktop denominato CONTI_README.txt con la richiesta di riscatto. Ma non è finita qui! Una volta acquisita la cache ARP, il malware comincerà a "bussare" a tutti gli indirizzi IP locali nel tentativo di accedere e avanzare la propria opera di danneggiamento.

Si può fare qualcosa? Attualmente non c'è ancora la cura, ma è possibile avviare una checklist di sicurezza che vada a mitigare il rischio di danneggiamento:

• Aggiornare sistemi e applicazioni in maniera periodica, routine da richiedere al vostro tecnico informatico o alla società che vi segue
• Prevedere l'autenticazione multi fattore sugli accessi remoti (o meglio ancora, se non siete sicuri del livello di sicurezza dei dispositivi a cui permettete il collegamento, revocate i permessi)
• Disattivate gli account admin sostituendoli con altri creati appositamente
• Isolate i sistemi critici e compartimentate la rete in segmenti
• Custodite i vostri backup con soluzioni offline o in cloud
• Formate il vostro personale con le regole base di sicurezza (ad esempio sulla veridicità degli allegati email, o sul non effettuare download da siti non sicuri)

Nel caso aveste dubbi, domande, o la necessità di una consulenza in merito, non esitate a contattarci, siamo a vostra disposizione.