Conti ransomware colpisce Clementoni

9 Dicembre 2021

Attacco Conti al sistema informatico della nota ditta di giocattoli di Recanati. Ecco cosa è trapelato.

Sabato 4 dicembre 2021 Recanati. Il colpo sottrae ben 111gb dal network aziendale. Compromesso l’intero sistema. Domenica 5 dicembre 2021, la notizia di alcuni disagi informatici inizia a girare per alcune testate giornalistiche mentre i dipendenti sono impegnati, per diverse ore, a ripristinare le procedure del CED. Lunedi 6 dicembre 2021 il noto gruppo cybercriminale Conti rivendica l’attacco sul proprio sito pubblico:

“Hello we have downloaded 111gb of personal data from your network, please contact us at the link in the note”

Il messaggio non può essere più chiaro. L’attacco è riuscito a sottrarre 111 gb di dati personali e confidenziali dal network aziendale, l’invito per Clementoni è di contattare direttamente il gruppo tramite link. Questo, anche basandoci su altri attacchi del ransomware Conti può significare solo una cosa: l’azienda ha ricevuto un’offerta di riscatto al fine di garantire la non divulgazione di quanto rubato.
L’azienda per ora non ha rilasciato alcun comunicato ufficiale. Non è dato sapere che tipo di dati siano stati rubati né la gravità del furto stesso. Seguiranno aggiornamenti.

Indice nascondi
Cos’è Conti?
Come infetta il sistema?

Cos’è Conti?

In generale, un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto, "ransom" in inglese, da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all'utente di pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo e, l’Italia, è sicuramente uno dei paesi più colpiti.
Conti è un ransomware osservato già dal 2020. È noto che tutte le versioni di Microsoft Windows sono interessate.
La banda dietro Conti, già famosa per il ransomware Ryuk, gestisce un sito da cui può trapelare documenti copiati dal ransomware dal 2020. Il gruppo è conosciuto come Wizard Spider e ha sede a San Pietroburgo , in Russia .

Come infetta il sistema?

Il software utilizza la propria implementazione di AES-256 che utilizza fino a 32 thread logici individuali, rendendolo molto più veloce della maggior parte dei ransomware. Il metodo di consegna non è chiaro.
Una volta su un sistema:

  • tenterà di eliminare le copie shadow del volume
  • tenterà di terminare una serie di servizi utilizzando Restart Manager per assicurarsi di poter crittografare i file utilizzati da loro
  • disabiliterà il monitoraggio in tempo reale
  • disinstallerà l'applicazione Windows Defender.

Il comportamento predefinito, in generale, consiste nel crittografare tutti i file sulle unità Server Message Block locali e di rete , ignorando i file con estensioni DLL , .exe , .sys e .lnk .
Come se non bastasse, è anche in grado di indirizzare unità specifiche e indirizzi IP individuali.

Curiosi di saperne i più? La società di sicurezza informatica VMware Carbon Black ha pubblicato un rapporto tecnico specifico sul ransomware.

Alice Zaniolo
Millennial classe 1997 con una laurea in Interpretariato e Comunicazione. Creativa e dinamica amo l’arte in ogni sua forma e sfaccettatura. Il mio hobby preferito? Fare lunghe passeggiate in compagnia del mio amico a quattro zampe.
Scopri tutti gli articoli di Alice Zaniolo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

[adinserter name="Box top"]