Aziende russe sotto attacco tramite un ransomware basato su Conti

Gli attacchi ransomware a bersagli russi sono alquanto rari, ma NB65 ha deciso di cambiare le carte in tavola.

Avatar di Marco Doria

a cura di Marco Doria

I cyber attacchi nei confronti della Russia proseguono con un vettore d'attacco alquanto insolito, ovvero il ransomware. Secondo diverse voci, gli attacchi di tipo ransomware nei confronti delle aziende russe sarebbero rari in quanto gli hacker russi non attaccherebbero mai bersagli nazionali. In questo modo, sembrerebbe che le autorità russe "chiudano un occhio" nei confronti degli attacchi mirati ad aziende estere.

Adesso, però, sembra che la storia sia cambiata. Infatti, il gruppo NB65, già autore di un grosso leak di dati dal network radiotelevisivo di stato russo VGTRK, starebbe attaccando diverse aziende della Federazione tramite, appunto, un ransomware basato sul codice sorgente di Conti Ransowmare, un'operazione condotta da cyber-criminali russi che vietano attacchi di questo tipo contro connazionali.

Fra i target colpiti da NB65, figurano l'azienda Tensor e l'agenzia spaziale russa Roscosmos. Affidandosi a Twitter, il gruppo ha dichiarato: "Non ci fermeremo finché non la Russia non si fermerà".

Il gruppo è vicino ad Anonynmous, il collettivo di hacktivisti che ha dichiarato cyber-guerra alla Russia, e la scelta di NB65 di adoperare un malware russo è particolarmente significativo. Non mancano gli "inviti" alla Russia di lasciare il territorio ucraino, nei vari messaggi e annunci pubblicati su Twitter.

Il ransowmare è una particolare forma di malware che blocca unità di archiviazione o interi sistemi tramite crittografia. I file, dunque, diventano inaccessibili senza una password, che verrà fornita alla vittima dietro pagamento (da qui il termine "ransom" che è la controparte anglofona del termine "riscatto"). Negli anni, diversi tipi di ransomware hanno causato miliardi di dollari di danni (e anche delle vittime in alcuni casi), e spesso occorre scegliere un antivirus specifico per difendersi da tale malware. Inoltre questo vettore di attacco sta diventando sempre più popolare e adottato da vari gruppi criminali di tutto il mondo, come FIN7 che ha deciso di intensificare le proprie attività perpetrando attacchi di questo tipo già da qualche anno.